Comments
Description
Transcript
T A
TAMPEREEN AMMATTIKORKEAKOULU LIIKETALOUS OPINNÄYTETYÖRAPORTTI PIENYRITYKSEN TIETOTURVA Tapani Jarmas Tietojenkäsittelyn koulutusohjelma Joulukuu 2007 Työn ohjaaja: Harri Hakonen T AMPERE 2007 TAMPEREEN AMMATTIKORKEAKOULU LI IKETALOUS _____________________________________________________________________________ Tekijä(t): Tapani Jarmas Koulutusohjelma(t): Tietojenkäsittely / Tietoverkkopalvelut Opinnäytetyön nimi: Pienyrityksen tietoturva Title in English: Security of a small enterprise Työn valmistumiskuukausi ja -vuosi: 12/2007 Työn ohjaaja: Harri Hakonen Sivumäärä: 54 TIIVISTELMÄ Tietoturvaa käsitellään yleisessä keskustelussa useimmiten ainoastaan viruksentorjunnan ja palomuuriratkaisujen näkökulmasta, muiden tietoturvaan liittyvien asioiden jäädessä vähemmälle huomiolle. Tämän opinnäytetyön tarkoituksena on muodostaa kokonaiskuva tärkeimmistä pienyritysten tietoturvaan liittyvistä asioista ja ongelmista, sekä antaa pienyrityksille käytännön vinkkejä tietoturvan toteuttamiseen. Työn teoriaosuudessa käydään läpi tietoturvan toteuttamisen perusteita (mm. tietoturvauhat ja laitteistot), sekä yritystoiminnassa huomioon otettavia asioita (henkilöstön kouluttaminen ja yrityskohtaiset tarpeet). Lopuksi luodaan teoriaosuudessa esiteltyjen asioiden pohjalta käytännön esimerkkiratkaisu tietoturvan teknisestä toteuttamisesta pieneen yritykseen. Työssä painotetaan tietoturvaratkaisujen merkitystä yrityksen turvallisuuden kannalta. Se toimii johdatuksena laajaan aihepiiriin ja yrityksen henkilöstön tietoturvatietämyksen lisäämiseen. Avainsanat: Tietoturva Tietojärjestelmät Tietoverkot Työntekijät Uhka TAMPERE POLYTECHNIC BUSIN ESS S CHOOL _____________________________________________________________________________ Author(s): Tapani Jarmas Degree Programme(s): Business Information Systems Title: Security of a small enterprise Month and year: December/2007 Supervisor: Harri Hakonen Pages: 54 ABSTRACT Information security is normally discussed from the view of firewall´s and antivirus software. Other relevant information is left a side. The purpose of the whole process is to establish some kind of picture, about the most important and relevant matters of information security. I also give some practical examples, how to carry out information security In the theoretical part I will go through the basics of information security (among other things, information threats and hardware) and matters which have to have attention in entrepreneurship (education of employees and needs of the enterprise). In the end I will put into practice the theoretical part through an example of technical implementation of information security in a small enterprise. The study highlights the information solutions considering the enterprises information safety. The work acts as a introduction to bigger subject on the matter and as a mentor to the employees. Keywords: Information security Information system Network Employee Threat 1 Johdanto ..............................................................................................................................6 2 Tietoturvan toteuttaminen...................................................................................................7 2.1 Yleistä ..........................................................................................................................7 2.2 Palomuurit....................................................................................................................9 2.3 Virustorjunta ................................................................................................................9 2.3.1 Muita haittaohjelmia ...........................................................................................10 2.3.2 Anti-spyware ohjelmat........................................................................................11 2.4 IDS (Intrusion Detection System)..............................................................................12 2.5 Houkutuslinnut...........................................................................................................14 2.6 Hakkerit .....................................................................................................................15 2.7 Sähköpostiuhka ja roskaposti.....................................................................................17 2.8 Palvelinhuone.............................................................................................................18 2.9 Lähiverkko .................................................................................................................18 2.10 WLAN-verkko .........................................................................................................20 2.11 Etäyhteydet ..............................................................................................................22 2.11.1 SSH ...................................................................................................................23 2.11.2 VPN ..................................................................................................................24 2.12 Varmuuskopiointi ....................................................................................................27 2.13 Laitteistot .................................................................................................................29 2.13.1 Keskeytymätön virransyöttö ja varavoima .......................................................29 2.13.2 Ylläpito .............................................................................................................30 2.13.3 Vanhojen laitteiden hävittäminen .....................................................................30 2.14 Salasanat ..................................................................................................................31 3 Yritys ................................................................................................................................33 3.1 Riskien tuntemus........................................................................................................33 3.1.1 Riskianalyysi.......................................................................................................34 3.1.2 Verkkojen tietoturvaorganisaatiot.......................................................................35 3.1.3 Tietoturvakäytännöt (tietoturvapolitiikka)..........................................................36 3.2 Tietoturvan laatu ........................................................................................................37 3.3 Laki tietoturvallisuudessa ..........................................................................................38 3.4 Tietoturvallisuusohjelma ...........................................................................................39 3.5 Fyysinen ympäristö....................................................................................................40 3.6 Henkilöstö..................................................................................................................42 3.6.1 Henkilökunnan koulutus .....................................................................................43 3.6.2 Etätyö ..................................................................................................................43 3.6.3 Työ- ja liikematkat..............................................................................................44 3.7 Kulunvalvonta............................................................................................................45 3.8 Yrityksen tarpeet........................................................................................................46 4 Käytännön esimerkki ........................................................................................................47 4.1 Lähiverkon rakenne ...................................................................................................47 4.1.1 Reititin ................................................................................................................47 4.1.2 WLAN tukiasema ...............................................................................................48 4.1.3 Palvelin ...............................................................................................................49 4.1.4 Tietokoneet .........................................................................................................50 4.3 Varmuuskopiointi ......................................................................................................50 5 Yhteenveto ........................................................................................................................52 5.1 Työn rajaus ja siihen liittyneet ongelmat...................................................................52 5.2 Loppusanat.................................................................................................................53 6 Lähteet ..............................................................................................................................54 1 Johdanto Tietojenkäsittelyä opiskellessani olen huomannut, että mediassa puhutaan paljon palomuureista ja virustorjunnasta käsiteltäessä tietoturvaa. Harvemmin käsitellään muita tietoturvaa koskevia asioita, jotka ovat kuitenkin mielestäni yhtä tärkeitä. Tästä sain idean tutkintotyöni aiheeksi. Pohtiessani aiheen rajausta ja näkökulmaa ajattelin, että sopiva kohderyhmä voisivat olla pienet yritykset. Isäni on yrittäjä ja tuttavapiiristäni löytyy monia yrittäjiä, joiden toimintaa seuratessani olen havainnut, kuinka paljon puutteita on yrittäjien tietotuvassa. Tämän tutkintotyön tarkoitus on käytännön esimerkein esittää, kuinka tietoturva tulisi toteuttaa pienessä yrityksessä. Yritän kirjoittaa asioista mahdollisimman yksinkertaisesti, koska kohderyhmänä ovat kuitenkin pienyrittäjät eivätkä IT-alan ammattilaiset. Tässä tutkintotyössä joudun tyytymään vain raapaisemaan pintaa tietoturvaan liittyvistä tärkeistä asioista, sillä lähes jokaisesta käsitellystä osa-alueesta voisi tehdä oman tutkimuksensa. Tavoitteena on siis tehdä tiivistetty esitys tietojärjestelmien ja -verkkojen varmistamisesta ja suojaamisesta, käymällä läpi tärkeimmät niihin liittyvät aihealueet. En käsittele kovin laajasti virustorjuntaa tai palomuureja, koska niistä löytyy erittäin paljon materiaalia muutenkin. Keskityn lähinnä verkon rakenteeseen, laitteisiin, käyttöjärjestelmän asetuksiin ja tietoturvakäytäntöihin. Käyn myös läpi yleisiä tietoturva-asioita, jotka liittyvät laitteiden sijoitteluun sekä yrityksessä liikkumiseen (kulunvalvonta). Käyn lyhyesti läpi perustietoturvan rakenteen mukaan lukien virustorjuntaohjelmistot, sekä rauta- ja ohjelmistopalomuurit. Pyrin selvittämään, mitä asioita yrityksen tulee huomioida tietojärjestelmissä ja kuinka minimoidaan ihmisten aiheuttamat ongelmat. Tarkastelen myös yleistyvien langattomien verkkojen tietoturvan toteuttamista sekä tietojen säilymisen turvaamista varmuuskopioinnilla. Laitteista käyn läpi verkon toteuttamiseen tarvittavat laitteet ja selvitän, kuinka niiden asetuksilla sekä käytöllä voidaan parantaa tietoturvaa. Esittelen myös muutamia laitteita, jotka ovat hyödyllisiä erilaisissa tilanteissa. Tällaisia tilanteita voisi olla esimerkiksi ukonilma tai sähkökatkos. 7 2 Tietoturvan toteuttaminen Tietoturvalla käsitetään kaikki mahdollinen tiedonturvaaminen, oli se sitten paperilla, sähköisessä muodossa, kuvina, ihmisten päässä jne. Meillä kaikilla on tietoja, joita haluamme pitää turvassa, pankkitunnuksista vanhoihin valokuviin. On siis erittäin olennaista, että perehdymme tapoihin ja menetelmiin, joilla voimme säilyttää mahdollisimman tehokkaasti näitä tietoja. On tärkeää tietää, miten toteuttaa yrityksen sisäinen verkko tietoturvallisesti. Tietoturvaan kuuluu tietenkin kaikki muukin yrityksen toiminta. Kaikki tieto olisi syytä turvata ulkopuolisilta ja sisäpuolisilta uhilta. 2.1 Yleistä Tietoturva käsittää paljon muutakin kuin virustorjunnan ja palomuurit. Usein puhutaan vain näistä kahdesta käsitteestä ja mainitsematta jää monia muita olennaisia seikkoja. Tietokoneet ovat alttiita laitevioille, kuten muukin elektroniikka. Kannattaa myös muistaa, että erilaiset onnettomuudet ja vahingot voivat aiheuttaa vahinkoa. On siis syytä varmistaa tietojen säilyminen esimerkiksi tulipalon sattuessa. Tietoturvan tavoite on varmistaa, että tietokoneet ja niissä olevat ohjelmat tekevät aina sen, mitä niiden on tarkoitus tehdä eikä mitään muuta. Toisin sanoen suojata tietojärjestelmät mahdollisimman monelta odotetulta ja odottamalta riskiltä. Varmistaa, että järjestelmän suojattavat tiedot ovat niiden käyttöön oikeutettujen käyttäjien käytettävissä ja että nämä tiedot ovat näiden käyttäjien käytettävissä aina, kun he niitä tarvitsevat. Tietoturvan tavoitteet on jaettu näihin tietoturvapalveluihin: luottamuksellisuus, autenttisuus (oikeellisuus), kiistämättömyys, eheys ja käytettävyys. (Ruohonen 2002, 2.) Viime vuosina tietoturva on huomattavasti monimutkaistunut, ja siihen liittyvät ongelmat eivät kosketa enää ainoastaan suuria yrityksiä vaan myös pienyrityksiä sekä kotikäyttäjiä. Enää ei riitä, että tärkeät tiedot ovat lukitun oven takana ja tietokoneissa on virustorjuntaohjelmat sekä palomuurit kunnossa. Suurin uhka yrityksen tietojärjestelmään kohdistuu nykyään sisäpuolelta eli työntekijöistä ja järjestelmän rakenteesta. Yritykset eivät yleensä ole ajatelleet, että tietoturvauhka voisi olla yrityksen sisällä. Mediassa on usein puhuttu palomuurien ja virustorjunnan tärkeydestä, ja moni yritys tuudittautuu ajatukseen, että heillä edellä mainitut asiat ovat kunnossa, vaikka todellisuus olisi toinen. 8 Yritysten työntekijöille hankitaan kannettavia tietokoneita ja muistitikkuja, joilla he voivat tehdä töitä muualla ja siirrellä materiaalia. On muistettava, että uhka on joka puolella ja voi iskeä silloin, kun sitä vähiten odottaa. Voimme esimerkiksi olla hieman huolimattomampia käyttäessämme laitteita työpaikan ulkopuolisessa ympäristössä. Työntekijöistä on tullut suurin tietoturvauhka yrityksille. Heitä ei ole koulutettu tarpeeksi hyvin tiedostamaan ja havaitsemaan mahdollisia uhkan aiheuttajia. Tietokoneen käyttäjä voi altistaa yrityksen tietojärjestelmän monille uhille vahingossa tai tarkoituksella. Sen takia on erityisen tärkeätä kiinnittää huomiota työntekijöiden osaamiseen sekä oikeuksiin tietojärjestelmässä. Tietoturva ei pelkästään käsitä viruksia, matoja, troijalaisia ja ulkopuolisia tietomurtoyrityksiä (hakkerit), vaan myös tavanomaisia ohjelmisto- sekä laitehäiriöitä/vikoja, tulipaloja, vesivahinkoja, ukonilmoja, henkilön huolimattomuutta ja vastaavanlaisia asioita. Uhkia on monenlaisia ja niitä vastaan kannattaa suojautua. Voimme kuvitella, kuinka monella yksityisyrittäjällä on kaikki yrityksen olennainen tieto yhdellä tietokoneella ja viimeiset varmuuskopiot otettu puoli vuotta sitten, jos niitä ylipäätään on otettu. Kovalevyn hajotessa katoaa suurin osa yrityksen tiedoista. Tällaiseen tilanteeseen tuskin yksikään yritys haluaa. Vastaava tilanne saisi jo monen kotikäyttäjänkin varuilleen. Vahinkoa yritetään tehdä tunkeutumalla yritysten tietojärjestelmiin, tuhoamalla tietoja ja muuntelemalla kohteen nettisivuja. Roskaposteilla yritetään tukkia tiedonkulkua ja levittää viruksia. Hyökkäyksien ylikuormitus voi pahimmassa tapauksessa kaataa koko järjestelmän tai sulkea Internet-sivuston. Olemme myös saaneet lukea mediasta kuinka rikolliset yrittävät varastaa identiteettejä, luottokorttitietoja sekä pankkitunnuksia. (Myhr ym. 2004, 7.) Tietojärjestelmän tietoturva jaetaan yleensä näihin osa-alueisiin: • • • • • • • • tietoaineiston turvallisuus ohjelmisto turvallisuus tietoliikenneturvallisuus fyysinen turvallisuus laitteistoturvallisuus henkilöstöturvallisuus käyttöturvallisuus hallinnollinen turvallisuus. (Ruohonen 2002, 4.) 9 2.2 Palomuurit Palomuurilla (firewall) pyritään estämään ei-haluttujen pakettien pääsy julkisesta verkosta (esimerkiksi Internetistä) suojattuun verkkoon (esimerkiksi yrityksen lähiverkkoon tai kotikoneelle) suodattamalla ne tietoliikenteestä. Palomuurina voi toimia erillinen laite, reititin tai tietokoneessa oleva ohjelma (jonka kautta suodatettava tietoliikenne kulkee). (Ruohonen 2002, 64.) Palomuuri on tietoturvajärjestelmä, joka suojaa yleensä sisäverkkoa/tietokonetta ulkopuolisilta hyökkäyksiltä ja murtautumisyrityksiltä. Muurilla pystytään lisäksi piilottamaan sisäisen verkon rakenne. Palomuuri tutkii liityntäänsä saapuvan liikenteen ja soveltaa siihen tiettyjä sääntöjä, käytännössä sallien tai estäen liikenteen kyseisten sääntöjen perusteella. Palomuuri suodattaa sekä saapuvan että lähtevän liikenteen. (Thomas 2004, 161.) Sen tehtävä on siis tarkkailla liikennevirtaa ja havaita mahdolliset osoiteväärennökset, sekä kaato- ja häiriöyritykset. Palomuurit voidaan jakaa toteutustapansa perusteella kolmeen ryhmään: pakettisuodattimet, Proxy-palomuurit ja tilatietoiset palomuurit. Isommissa yrityksissä käytetään useampia palomuureja, koska niillä on yleensä laajat tietoverkot ja ne tarjoavat erilaisia verkkopalveluja asiakkailleen, esimerkiksi nettikaupan, ekstranetin ja intranetin. Yleensä nämä sijoitetaan omille julkisille palvelimille. Tällaista aluetta usein kutsutaan eteisverkoksi eli demilitarisoitu alue (DMZ, demilitarized zone). Tällaisessa tapauksessa siis ensimmäinen palomuuri sijaitsee luotetunverkon (DMZ) ja Internetin välissä. Eteisverkon ja sisäverkon välissä sijaitsee toinen palomuuri. Palomuuri ei kuitenkaan nykyään riitä aina suojaamaan yrityksen verkkoa. On muitakin tapoja ohittaa palomuuri kuin hakkeroimalla sen läpi. Kaikki, jotka pääsevät verkkoon käsiksi yrityksen sisältä ovat sinällään uhka, kuten yrityksen henkilökunta ja vieraat, jotka tuovat mukanaan kannettavia tietokoneita, jotka liitetään yrityksen sisäverkkoon. WLAN-tukiasemat (Wireless Local Area Network) saattavat päästää liikennettä sekä ulos että sisään palomuurin ohi. Näissä tapauksissa tietokoneissa mahdollisesti olevat haittaohjelmat pääsevät leviämään lähiverkkoon. 2.3 Virustorjunta Virustorjuntaohjelmien on tarkoitus havaita ja paljastaa tiedostoissa mahdollisesti olevat virukset, madot ja Troijan hevoset. Virussuojaus tulisi olla kaikissa Internet-yhteyttä käyttävissä palvelimissa ja työasemissa. Nykyään virustorjuntaohjelmien on pystyt- 10 tävä kehittymään ja pysymään muuttuvien uhkakuvien mukana. Tämän takia on erittäin tärkeätä, että kaikissa laitteissa on ajan tasalla oleva ohjelmisto. Ohjelmistojen tarjoajat tekevät ohjelmiin nykyään virusmääritelmiä, jotka pystyvät vertaamaan epäiltyä uhkaa lähetettyyn määritelmään. Ohjelman toimittajat lähettävät eräänlaisen digitaalisen sormenjäljen aina, kun uusi uhka paljastuu. Virustorjuntaohjelmat etsivät ja tuhoavat järjestelmästä haitallisia prosesseja, niiden tarvitsemia tiedostoja ja muiden ohjelmien tiedostoihin tarttuneita haitallisia koodeja. Tietyt virukset yrittävät lamauttaa tietokoneelta virustorjunnan prosesseja tai häiritä niiden toimintaa. Virustorjuntaohjelmien toimintaan kuuluu suojata tietokoneella tai palvelimella olevia tiedostoja, joihin virukset usein yrittävät tunkeutua tekemään muutoksia ja/tai lukemaan laitteen tietoja pystyäkseen toimimaan vapaammin, sekä estääkseen virustorjunnan toiminnan tai levitäkseen seuraavaan koneeseen. Nykyään ei enää leviä kovin paljon perinteisiä viruksia. Virusten tekijät ovat alkaneet tuottamaan matoja. Viruksia muistuttava mato levittää itseään haitallisen koodin tarkkoina kopioina, jotka siirretään toisiin tietokoneisiin ja käynnistyvät automaattisesti. (Myhr ym. 2004, 22.) Matojakin on monenlaisia, niin verkossa kuin sähköpostitse leviäviä. Viruksia on myös nykyään alkanut esiintyä muissakin laitteissa, kuten puhelimissa ja auton elektronisissa järjestelmissä. Tämä on tullut mahdolliseksi Bluethoot-yhteyksien ja puhelimien monipuolisten toimintojen kautta (verkkoselaimet). 2.3.1 Muita haittaohjelmia Haittaohjelmia on muitakin kuin virukset, madot ja Troijan hevoset. Se on yleiskäsite kaikille ohjelmille, jotka aiheuttavat tarkoituksella vahinkoa sekä ei-toivottuja tapahtumia tietokoneilla ja tietojärjestelmissä. Tällaisia haittaohjelmia ovat vakoiluohjelmat (spyware), rootkitit, mainosohjelmat (adware), takaovet (backdoor). Tämän kaltaisille ohjelmille on olemassa siivousohjelmia, jotka havaitsevat ja poistavat ne. Monissa tietoturvapaketeissa tulee mukana ominaisuuksia, joilla nämä ohjelmat saadaan poistettua. Vakoiluohjelmat vakoilevat ja keräävät tietoja käyttäjän toimista, kuten käytyjen Internet-sivustojen osoitteita, salasanoja tai luottokorttitietoja ja lähettävät ne isännälleen. Rootkit on ohjelmisto, jonka hyökkääjä voi asentaa koneelle saatuaan sen hallintaansa. Ohjelma pyrkii piilottamaan itsensä tuhoamalla mahdollisia jälkiä tartunnasta ja piilottamalla mahdolliset prosessinsa sekä verkkoyhteydet. Rootkiteissä on usein myös etähallintaominaisuus. 11 Mainosohjelma on usein helppo havaita, ja nimikin kertoo niiden toiminnan. Kyseinen ohjelma avaa mainoksia tietokoneen ruudulle, ja yleensä ne aktivoituvat, kun Internet-selain avataan. Nämä ohjelmat asentuvat muiden, yleensä ilmaisohjelmien mukana, joita voi netistä ladata tai tietoturva-aukkojen kautta. Mainosohjelmat yrittävät myös ottaa yhteyttä isäntäkoneeseensa. Takaovi on ohjelma, jonka tarkoituksena on sallia vieraalle pääsy tietokoneeseen normaalit tietoturvamekanismit ohittaen. Takaoviohjelma yritetään asentaa tietokoneelle käyttäjän huomaamatta, usein tietoturva-aukkojen kautta se voi tulla viruksen tai madon mukana. Ohjelma voi olla myös sisäänrakennettuna toisessa ohjelmassa. 2.3.2 Anti-spyware ohjelmat Vakoiluohjelmien torjuntaan on myös kehitetty ohjelmia. Näillä ohjelmilla on lähinnä kaksi keinoa puolustautua haitallisia ohjelmia vastaan: ajantasainen suojaus, joka estää vakoiluohjelmien asennuksen, sekä niiden paikannus ja poistaminen. Torjuntaohjelmat tutkivat Windowsin rekisterin, asennetut ohjelmat ja käytössä olevat järjestelmätiedostot. Tämän jälkeen torjuntaohjelmat poistavat tiedostoista ne, jotka ohjelma havaitsee vakoiluohjelmien listaltaan. Vakoiluohjelmasuojaus toimii siis samalla tavalla kuin vastaavat virussuojausohjelmat. Samalla lailla kuin virustorjuntaohjelmia, niin myös anti-spyware -ohjelmia on päivitettävä, että ne toimivat tehokkaasti. Internetistä löytyy monia ilmaisohjelmia, jotka ovat erittäin hyödyllisiä ja toimivia haittaohjelmien poistamiseen. Mainitakseni muutamia: Ad-Aware, Spyware doctor, Spybot, CWShredder, jne. Itse olen hankkinut ohjelman nimeltä Hitman Pro, joka on eräänlainen skriptiohjelma, joka ajaa useita ilmaisia haittaohjelmien poistajia ja poistaa haittaohjelmat, sekä lopuksi antaa raportin toimenpiteistä. Nykyään monet virustorjuntayhtiöt ovat lisänneet virustorjuntaohjelmiinsa anti-spyware -ominaisuudet osaksi suojausta. Näin ovat toimineet ainakin Symantec ja F-Secure. Kannattaa myös muistaa, että selaimiin saa nykyään lisäohjelmia, joilla pystytään estämään erilaisia ohjelmia käynnistymästä nettisivuille mentäessä. Lisäksi löytyy lisäohjelmia joille voi opettaa huonoja ja haitallisia sivustoja. 12 2.4 IDS (Intrusion Detection System) Uusimpia tietoturvan parantamismenetelmiä tai -ohjelmia ovat tunkeutumisen havaitsemisjärjestelmät (Intrusion Detection System eli IDS). IDS:n toiminta perustuu kolmeen edellytykseen: missä vahditaan, mitä vahditaan ja miten vahditaan. (Thomas 2004, 322.) Ensimmäinen edellytys, missä vahditaan, kertoo mihin IDS loogisesti sijoitetaan tarkkailemaan tapahtumia. Toinen edellytys, mitä vahditaan, kertoo IDS:lle millaisissa tilanteissa sen tulee tehdä hälytys tai ryhtyä joihinkin muihin toimenpiteisiin. Kolmas edellytys, miten toimitaan, määrää miten IDS toimii, kun tilanne täyttää tietyt odotusarvot. IDS toimii todellisuudessa siis seuraavasti: 1. IDS asennetaan vahtimaan Internet-liityntää ja niitä, jotka yrittävät päästä verkkoon palomuurin läpi. 2. IDS:lle kerrotaan, minkä tyyppisiä hakkerointitoimenpiteitä ja hyökkäyksiä sen tulee etsiä paketti- ja yhteystyypin perusteella ja mitä vastatoimenpiteitä mahdollisesti tulee suorittaa. 3. IDS:ää kehotetaan lähettämään hyökkäyksen tapahtuessa viesti verkkovastaavan matkapuhelimeen ja sähköpostiin. 4. Hakkeri pyrkii verkkoon porttiskannauksella, joka skannaa ensimmäiset tuhat TCP-porttia (Transmission Control Protocol). 5. IDS näkee näihin portteihin kohdistuvat peräkkäiset yhteysyritykset, tarkistaa tietokantansa ja havaitsee että tällainen käyttäytyminen vastaa sinne syötettyä porttiskannausprofiilia. 6. IDS yrittää lähettää samanaikaisesti viestin verkkovastaavan sähköpostiin ja matkapuhelimeen. 7. Yhtäkkiä porttiskannauksen määrä kasvaa ja skannauksia tulee myös toisesta lähteestä. 8. IDS ilmoittaa tästäkin yrityksestä. (Thomas 2004, 323.) IDS ei kuitenkaan ole täydellinen järjestelmä, siinäkin on puutteita. Se pitää konfiguroida oikein, että IDS toimii järkevästi. IDS ei pysty kuin valvomaan yhtä liitäntää kerrallaan. Lopuksi IDS:stä voi tulla hakkerin liittolainen. Jos verkkovastaavan matkapuhelin alkaa täyttyä IDS:n lähettämistä viesteistä, hän alkaa suodattaa niitä väärinä hälytyksinä. Tällöin hän saattaa jättää huomioimatta viestejä, joilla on merkitystä. IDS-järjestelmät eivät ole täydellisiä ja nekin antavat aika ajoin vääriä hälytyksiä. Hakkerit myös opettelevat eri turvautumistapojen toimintaa ja kuinka niitä voidaan huijata tai hyödyntää. (Thomas 2004, 323.) 13 IDS:ä on kahden tyyppisiä, eli isäntäpohjaisia tunkeutumisen havaitsemisjärjestelmiä (HIDS, Host Intrusion Detection System) ja verkkopohjaisia tunkeutumisen havainnointijärjestelmiä (NIDS, Network Intrusion Detection System) (Thomas 2004, 330). NIDS kaappaa kaikki paketit siinä segmentissä, johon se on liitetty. NIDS muistuttaa pakettien nuuskimista, mutta toimii paketin siepattuaan eri tavalla. Se toimii salakuuntelumallin mukaisesti ja voidaan toteuttaa parilla eri tavalla: • Kaapelin salakuuntelu – Menetelmässä paketit kaapataan kahden verkkolaitteen välille sijoitetun fyysisen haaraliitoksen kautta, johon NIDS liitetään. • Portin peilaus – Kytkimestä riippuen voi joustavampi ratkaisu olla portin peilaus eli portin skannaus. Tässä tekniikassa kytkin ohjataan lähettämään peilaavaan porttiin kopio jokaisesta paketista, joka on menossa esimerkiksi palomuurin sisältävään porttiin. NIDS on liitetty peilaavaan porttiin. (Thomas 2004, 330.) Kun NIDS lukee paketteja, ne voidaan analysoida eri tavoin riippuen siitä, millainen NIDS on kyseessä. Jotkin NIDS-järjestelmät etsivät sormenjälkeä vertaamalla pakettia tietokannassaan oleviin hyökkäystunnusmerkkeihin. Toiset etsivät epätavallista pakettiliikennettä, joka voisi kertoa käynnissä olevasta hyökkäyksestä. (Thomas 2004, 330.) HIDS:t tarkkailevat tietyn palvelimen järjestelmätoimintoja, sekä palvelimeen kohdistuvia hyökkäyksiä ja reagoivat hyökkäyksiin. Toisin kuin NIDS, HIDS asennetaan tarkkailtavaan isäntään, esimerkiksi web- tai postipalvelimeen. HIDS tarkkailee isännän tarkastus- ja tapahtumalokeja, kun NIDS puolestaan tarkkailee paketteja. HIDS ei pyri vertailemaan pakettien sisältöä hyökkäystunnusmerkkeihin, vaan tunnistamaan tunnettuja malleja, jos paikalliset tai etäkäyttäjät tekevät kiellettyjä asioita. (Thomas 2004, 331.) HIDS toimii kuin virustorjuntaohjelmisto (vaikka ei korvaa sitä), ja sen laajennetut ominaisuudet voivat parantaa suuresti verkon tietoturvaa. HIDS sopii parhaiten isäntiin kohdistuvien tietoturvauhkien vastaiseen taisteluun, koska se pystyy tarkkailemaan palvelimen käyttäjien toimenpiteitä, sekä tiedostohakuja ja reagoimaan niihin. Suurin osa tietokoneisiin kohdistuvista uhista tulee organisaation sisältä monista eri lähteistä, kuten tyytymättömiltä työntekijöiltä tai yritysvakoojilta. HIDS tarkkailee palvelimia ja tarjoaa tietoa seuraavista seikoista: 14 • Tunkeutumisyritykset, onnistuneet tunkeutumiset ja valtuutettujen käyttäjien epäilyttävä käyttäytyminen. • Isännän skannauksella varmistetaan, että hyväksyttyjä tietoturvakäytäntöjä noudatetaan, kuten viimeisempien päivitysten tekeminen ja turhien palvelujen poiskytkentä. • Tarkastuskäytännön hallinta ja keskittäminen, todistusaineiston kerääminen, tilastoanalyysi ja tiedot tapahtumista, eräissä tapauksissa myös pääsynvalvonta. Toiminnot ovat yleensä tuettuina järeämmissä työkaluissa. (Thomas 2004, 332.) IDS pystyy kokoamaan pakettivuon uudelleen istunnoksi ja analysoimaan, mitä todellisuudessa tapahtuu. Prosessi on erittäin tärkeä, koska sen avulla IDS voi koota tapahtumia yhteen ja tarjota hallintatyöasemalle tarvittavan tapahtumien korreloinnin. Korrelointi on yhä tärkeämpää. Näin voidaan esimerkiksi havaita työntekijöiden kannettavilla koneilla mahdollisesti olevat verkkomadot ja vastaavat ohjelmat. Kannettaviin olisikin hyvä asentaa HIDS. (Thomas 2004, 333.) 2.5 Houkutuslinnut Houkutuslintu on joustava, Internetiin yhdistetty tietokonejärjestelmä. Se on räätälälöity tietoturvatyökaluksi ja asennettu varta vasten houkuttelemaan ansaan henkilöitä, jotka yrittävät päästä toisten tietokonejärjestelmiin tunnustelemalla, skannaamalla ja tunkeutumalla. Kohderyhmään kuuluvat hakkerit, krakkerit ja script kiddiet (ks. s.15) riippumatta siitä, mistä päin maailmaa he ovat. (Thomas 2004, 345.) Houkutuslinnut eivät ratkaise yhtään tietoturvaongelmaa. Sen sijaan niitä käytetään harhautuksiin, torjuntaan, havaitsemiseen ja tietojen keräämiseen. Ne on suunniteltu tarkoituksella muistuttamaan jotakin sellaista (esim. POP3-postipalvelin), mihin hyökkääjät pyrkivät hakkeroimaan, ja niitä tarkkaillaan tiiviisti. Houkutuslintua ei tule käyttää tuotannossa, sillä houkutuslintua tunnustellaan, siihen hyökätään, tai siihen pyritään murtautumaan. Houkutuslinnut palvelevat seuraavia tärkeitä tarkoituksia: • Houkutuslinnut harhauttavat hyökkääjiä pois tärkeimpien verkkoresurssien kimpusta, jolloin verkon suojaaminen on helpompaa. • Houkutuslintujen avulla voidaan saada ennakkovaroitus uusista hyökkäyksistä ja tunkeutumisyrityksistä. IDS voi tuottaa vääriä hälytyksiä. Vahingoittamispyrkimykset puolestaan kohdistuvat ainoastaan houkutuslintuun, joka ei ole tuotannossa. 15 • Houkutuslintujen ansiosta hyökkääjän toimintaa voidaan tutkia tarkasti, sekä houkutuslintuun kohdistuneen hyökkäyksen aikana että sen jälkeen. Voi tuntua siltä, että tämä kiinnostaa vain tutkijoita, mutta tällä tavalla on myös mahdollista oppia asioita, joista on hyötyä verkon todellisten tietoturvaresurssien asianmukaisessa konfiguroinnissa ja päivittämisessä. • On myös eduksi, että houkutuslintujen avulla voidaan osoittaa, että verkon tietoturva on suunniteltu tehokkaasti. • Houkutuslinnut auttavat tuntemaan paremmin vihollisen, sillä pelkkä tieto hakkereiden olemassaolosta ei riitä. Lisäksi on tunnettava hakkereiden tekniikat ja menetelmät. Kun hyökkääjä on saatu profiloitua, on mahdollista puolustautua uusia rikkomuksia vastaan. (Thomas 2004, 346.) Vaikka houkutuslinnut tarjoavat monia etuja, on niillä seuraavat rajoitukset: • Jos järjestelmä todella hakkeroidaan, sitä voidaan käyttää astinlautana muuhun verkkoon murtautumiseen. • Houkutuslinnut tekevät verkosta monimutkaisemman. Tietoturvassa monimutkaisuus on pahasta, koska se lisää aukkojen määrää. • Houkutuslinnut vaativat ylläpitoa, aivan kuten kaikki muutkin verkon laitteet ja palvelut. (Thomas 2004, 349.) 2.6 Hakkerit Alun perin hakkereilla tarkoitettiin henkilöitä, jotka tunsivat tietokoneen toiminnan erinomaisen hyvin. Kräkkerit ovat taas hakkereita, jotka ovat keskittyneen murtamaan ohjelmien kopiointisuojauksia. Nykyään hakkereilla tarkoitetaan yleisimmin henkilöitä, jotka käyttävät tietotekniikan asiantuntemustaan haitalliseen ja todennäköisesti laittomaan toimintaan. (Ruohonen 2002, 320.) Hakkerit jakavat itsensä kahteen joukkoon tavoitteidensa mukaan. White Hat-hakkerit pyrkivät toimimaan tietoverkkojen hyväksi ja käyttävät taitojaan rakentaviin sekä kehittäviin tarkoituksiin. Yleensä heidät esitellään mediassa erilaisina asiantuntijoina. Black Hat-hakkerit ovat edellisen vastakohta, eli he yrittävät häiritä tietojärjestelmiä ja verkkoja. Heidän tarkoituksensa on murtautua tietojärjestelmiin, levittää sekä kehittää haittaohjelmia. Media käyttää heistä nimitystä hakkeri. (Ruohonen 2002, 320.) 16 Hakkerit jaetaan ryhmiin myös heidän taitojensa mukaan. Script kiddiet ovat hakkereita, jotka käyttävät muiden tekemiä, käyttöjärjestelmistä ja ohjelmista löytyneitä tietoturva-aukkoja hyödyntäviä ohjelmia. Tällaisia ohjelmia löytyy Internetistä. Osa ohjelmista on voitu kehittää hyvässä tarkoituksessa verkkojen seurantaan. Näitä samoja ohjelmia voi käyttää myös vastakkaiseen tarkoitukseen. (Ruohonen 2002, 321.) Hakkeroinnin syynä voi olla monia asioita ja tässä niistä muutamia: • • • • • • • • • • uteliaisuus haaste jännitys ilkivalta kosto taloudelliset syyt valtiolliset syyt aktivismi tai terrorismi sabotointi yritysvakoilu (Ruohonen 2002, 321.) Kannattaa muistaa, että aina vahinkojen tekijä ei ole hakkeri, hän voi olla myös työntekijä. Hän voi tehdä vahingossa tai tarkoituksella tietojärjestelmälle haitallisia asioita. Syy vahingontekoon voi olla mikä tahansa, koska olemme ihmisiä. Sosiaalinen hakkerointi on viime aikoina kasvanut, koska se on tullut helpommaksi kuin yrittää murtautua tietojärjestelmään. Sosiaalisella hakkeroinnilla tarkoitetaan hakkeria, joka tekeytyy vaikka IT-tukihenkilöksi ja tulee pyytämään työntekijän tunnuksia käyttöön. On myös monia muita tapoja selvittää yritysten tunnuksia, kuten tutkimalla roskia ja keräämällä tietoa eri lähteistä. Tapoja on niin paljon kuin ihmisen mielikuvitus voi keksiä. Taitava sosiaalinen hakkeri voi hankkia yksinkertaisiakin tietoja esimerkiksi: nimi, osoite, työpaikka, työntekijä numero, puhelinnumero, esimies ja käyttää näitä tietoja yhdessä jonkin muun helposti saatavilla olevan tiedon kanssa. Näin hakkeri yrittää päästä aina seuraavalle tasolle. Voidaan siis vain kuvitella, mihin verkon palveluihin hän voi päästä, jos hänellä on tiedossaan työtekijän numero, koko nimi, suora puhelinnumero töihin, osasto, työpisteen sijainti, sähköpostiosoite ja vielä esimiehen tiedot. Nämä tiedot ovat erillään harmittomia, mutta yhdistettyinä niistä tulee todellinen vaaratekijä. (Thomas 2004, 6.) 17 Hakkeri ei välttämättä halua mitään tietoja kohteeltaan, vaan ainoastaan saada kohteen tietokoneen tai palvelimen haltuunsa, käyttääkseen näitä hyväksi hyökätessään varsinaiseen kohteeseensa. Sen takia hakkerille käyvät myös kohteeksi kotitietokoneet, koska hän voi tarvita vaikka laskentatehoa tai käyttää kotikonetta piiloutuakseen useiden IP-osoitteiden (Internet Protocol) taakse. (Thomas 2004, 12.) 2.7 Sähköpostiuhka ja roskaposti Suureksi ongelmaksi on muodostunut sähköpostiin tuleva roskaposti. Roskapostien välityksellä liikkuu paljon viruksia, troijalaisia, mainoksia ja muita haittaohjelmia. Tarkemmin sanottuna roskapostilla tarkoitetaan sähköpostitse tapahtuvaa massapostitusta, johon ei ole vastaanottajan lupaa. Usein lähettäjä jää hämärän peittoon tai kyseinen sähköposti- ja/tai IP-osoite on väärennetty. Suomessa roskapostin lähettäminen on pääsääntöisesti laitonta. Ainoastaan yrityksille suunnatut mainokset eivät tarvitse vastaanottajan suostumusta. Monet Internetin tietoturvauhat leviävät lähinnä sähköpostitse. Jos tällaiset saastuneet viestit pääsevät kuitenkin livahtamaan turvaportista ja päätyvät saapuneiden sähköpostiviestien kansioon, ne voi poistaa ilman, että ongelmia aiheutuu. Tällöin saastuneet viestit on löydettävä ja poistettava avaamatta niitä tai varsinkaan liitetiedostoja. Virustorjuntaohjelma selviytyy sähköpostiuhasta tehokkaasti sekä käyttäjien työasemissa että sähköpostipalvelimissa, jos ne on päivitetty ja asetukset on määritelty oikein. Jos yrityksellä ei ole omaa sähköpostipalvelinta, vaan käytössä on operaattorin tai muun palveluyrityksen sähköposti, on viisasta valita palvelu, joka tarkistaa kaiken liikenteen. Tämä siksi, että virukset ja roskaposti suodatetaan pois. Vaikka Internetpalveluntarjoaja käyttää virustorjuntaa, myös käyttäjien tietokoneissa on oltava virustorjunta, sillä tartunnat eivät leviä ainoastaan Internetin välityksellä vaan myös pikaviesteissä sekä ladattujen tiedostojen ja ohjelmien välityksellä. (Myhr ym. 2004, 26.) Käytännön suojautumiskeinoina on, että ei vastaa tuntemattomiin posteihin, ei täytä tietojansa erilaisiin kyselyihin/kilpailuihin ja on aina kriittinen tuntemattomien viestien suhteen. Liitteitä ei kannata koskaan mennä avaamaan, jos ei tiedä lähettäjää ja sähköpostista ei selviä, mitä liite pitää sisällään. Suodatinohjelmat ovat yksi tapa suojautua roskapostilta. Bayesilainen roskapostisuodatus menetelmä on suosittu ja erinomainen käyt- 18 tää, koska sen, sekä vastaavat ohjelmat voi itse opettaa suodattamaan haluamiansa posteja. Niiden toimintaperiaate on, että aluksi käyttäjä kertoo niille mitkä sähköpostit ovat roskapostia. Suodatin oppii nopeasti tekemään erottelun tehokkaasti. Esimerkiksi Mozilla Thunderbird -sähköpostiohjelma sisältää tällaisen suodatusohjelman. Internetistä on myös saatavilla estolistoja, joita voi hyödyntää suodatukseen. Kannattaa kuitenkin muistaa, että liian raju suodatus alkaa nopeasti karsimaan oikeitakin viestejä. Sähköpostipalvelimille voi myös asentaa suodatuksia, jotka poistavat automaattisesti roskaposteja. Yleensä käyttäjälle luodaan oma kansio roskapostille, joka kannattaa tarkistaa ennen tuhoamista, sillä oikeitakin sähköposteja voi joutua roskapostin joukkoon. 2.8 Palvelinhuone Pienehkössä toimistossa tietoliikenneympäristö on usein melko tyypillinen: pienessä palvelinhuoneessa on muutamia palvelimia, joista yksi huolehtii tiedostojen tallentamisesta ja yhteisistä sovelluksista, toinen sähköpostista ja kolmas internet-sivustosta. Tiedostopalvelimeen on yhdistetty UPS-virtalähde (Uninterrupted Power Supply) huolehtimaan sähkönsyötöstä häiriötilanteissa. Tärkeimmät tietoliikennelaitteet sijaitsevat usein samassa paikassa, kuten reititin Internet-yhteyttä ja muuta ulkoista tietoliikennettä varten. lähiverkon kytkin, palomuuri ja mahdollisesti verkon suojausjärjestelmä. (Myhr ym. 2004, 12.) Tietokone- tai palvelinhuone sisältää toimiston tärkeimmän tietotekniikkajärjestelmän. Sen kautta kulkee ja siellä säilytetään suuria määriä tärkeää tietoa, siksi fyysiseen suojaamiseen on kiinnitettävä huomiota. Tietokone- tai palvelinhuoneen oven on oltava lukittu ja vastaavasti pienemmissä toimistoissa kaapin ovi. Huonetta tai kaappia ei saa käyttää muihin tarkoituksiin. Sinne saavat mennä yksin vain vastuuhenkilöt, joiden työtehtävät edellyttävät tätä. Suojausta voi lisätä tietokonehuoneen siivoaminen valvotusti sen sijasta, että se siivottaisiin iltaisin muiden tilojen siivoamisen yhteydessä. Vastuuhenkilöt voivat hoitaa myös siivouksen itse. (Myhr ym. 2004, 13.) 2.9 Lähiverkko Suunnitellessa lähiverkkoa yrityksen tiloihin kannattaa miettiä tarkkaan, mihin eri laitteet voidaan sijoittaa. Tämä jo pelkästään sen takia, että johtoja ei kulkisi pitkin lattioita. On hyvä piirtää pohjapiirustus, josta näkee missä eri laitteet sijaitsevat. Tämä voi tuntua turhalta yhden tai muutaman hengen yrityksessä, mutta se hel- 19 pottaa asentajien työtä ja tulevaisuudessa mahdollisen vian etsimistä. Tietoturvan parantamiseksi on hyvä, että mahdolliset modeemit, reitittimet, kytkimet, palomuuri jne. sijaitsevat samassa paikassa, mielellään lukkojen takana. Pienessä yrityksessä yleensä nämä kaikki laitteet/ominaisuudet ovat samassa fyysisessä laitteessa. Tähän kyseiseen tilaan tai kaappiin olisi hyvä myös sijoittaa mahdolliset backup-laitteet. Pienen yrityksen verkko yleensä koostuu ADSL-modeemista (Asymmetric Digital Subscriber Line), (jossa on reititin, kytkin ja palomuuri samassa laitteessa, ehkä vielä WLAN-tukiasemakin) parista tietokoneesta ja tulostimesta. Tällainen verkko on helppo toteuttaa, mutta se ei tarkoita sitä, että tietoturva-asioita voisi ottaa vähemmän huomioon kuin isoissa yrityksissä, joissa on laajemmat verkot. Reitittimen asetuksissa tulisi ottaa huomioon, ettei siihen saa kytkettyä muita koneita kuin yrityksen omat. Sama koskee langatonta verkkoa eli asetukset on määriteltävä tarkkaan. On tärkeää, että kukaan ei voi tuoda vierasta konetta verkkoon tai ottaa langattomaan verkkoon yhteyttä ilman lupaa, koska kyseinen henkilö voi varastaa tietoja tai aiheuttaa vahinkoa muuten yrityksen tietojärjestelmälle eli lähiverkolle. Verkko on siis toteutettava siten, että siihen ei pysty kytkemään vierasta konetta. Tämä voidaan toteuttaa verkon asetuksilla. Yrityksen verkkoon asetetaan oikeudet sen omille koneille MACosoitteiden (Media Access Control address) perusteella. Jokaisella laitteella on oma MAC-osoitteensa, jolla se voidaan erottaa muista laitteista. Yrityksen henkilöstölle annetaan käyttäjäprofiilit, joilla he pääsevät verkkoon ja samoilla tunnuksilla he pääsevät kirjautumaan tietokoneille. Ilman luotua profiilia henkilö ei pääse verkkoon tai tietokoneisiin käsiksi. Langattomaan verkkoon asetetaan myös vastaavat suojaukset ja asetukset kuin varsinaiseen verkkoon. Tästä lisää seuraavassa alaluvussa, jossa käsitellään langattomia verkkoja. Laitteet kannattaa hankkia pitäen silmällä mahdollista verkon laajentamista. Tämä siksi, että jos tarvitsee lisätä kaksi tietokonetta lisää lähiverkkoon, niin ei tarvitse hankkia hankia uutta reititintä tai uusia verkkolaitteita. 20 2.10 WLAN-verkko Tekniikan kehittyessä on tullut yleiseksi asentaa WLAN-tukiasemia (Wireless Local Area Network) koteihin ja yrityksiin. Tämä on kasvattanut uhkien määrää ja näin ollen lisännyt tietoturvan tarvetta. Kannattaa huomioida, että tekniikan lisääntyessä lisääntyy myös riskien määrä. Langaton lähiverkko antaa vapauden liikkua toimistossa ja helpottaa esimerkiksi kannettavien käyttöä. Samalla, kuten aikaisemmin jo mainittiin, se lisää lähiverkon haavoittuvuutta. Tämän takia WLAN-tukiaseman asetukset tulee määritellä tarkkaan. Emme halua, että naapurit käyttävät verkkoamme tai tutkivat verkon liikennettä. Pahimmassa tapauksessa he pääsevät näkemään tiedostomme tai aiheuttamaan vahinkoa tietojärjestelmään. Moni innokas tietokoneharrastaja voi mielenkiinnosta yrittää saada yhteyden vieraaseen lähiverkkoon. He eivät välttämättä halua tehdä vahinkoa, mutta on kuitenkin olemassa hakkereita ja ihmisiä, jotka sitä haluavat tehdä. On olemassa myös haittaohjelmia, jotka voivat tarttua suojaamattoman langattoman verkon kautta. Langattomien verkkojen tultua on kehittynyt tapoja, joita hakkerit käyttävät löytääkseen langattomia verkkoja. WarChalking, WarSpying, WarSpamming ja WarDriving ovat yksikertaisesti termejä, joita hyökkääjät käyttävät kuvatakseen toimintaansa. WarChalkingin tarkoitus on ilmoittaa muille ihmisille, missä on ilmaisia ja suojaamattomia langattomia verkkoja. WarSpying on uusi ilmiö, jossa on kyse langattomien videoverkostojen vakoilemisesta. Tarkoitus on siepata langattomien valvontajärjestelmien liikennettä. WarSpamming on sanan mukaisesti roskapostin lähettämistä langattomien verkkojen välityksellä. WarDriving:lla tarkoitetaan henkilöä, joka etsii autolla langattomia verkkoja. Hänellä on autossa laitteet, joilla hän pystyy skannaamaan aluetta liikkuessaan. (Thomas 2004, 289.) Langattoman tukiaseman SSID (Service Set Identifier eli tukiasemalle annettava ainutkertainen nimi) tulisi konfiguroida vaikeasti arvattavaksi, niin että sen nimi ei muistuta tai viittaa mitenkään kohteeseen (esimerkiksi yritykseen, paikkaan). Tukiasema lähettää oletusarvoisesti SSID:n muutaman sekunnin välein majakkaviestinä. Tämän takia valtuutettujen käyttäjien on helpompi löytää oikea verkko. Tosin samalla myös valtuuttamattomat käyttäjät löytävät verkon. SSID-yleislähetys kannattaa kytkeä pois päältä aivan ensimmäiseksi. (Thomas 2004, 303.) Seuraavaksi konfiguroidaan tukiasemalle MAC-osoitesuodatus (Media Access Control addres). Verkkokortin MAC-osoite on 12- 21 numeroinen heksadesimaaliluku, joka on yksilöllinen jokaisella maailman verkkokortilla. Koska jokaisella langattomalla Ethernetkortilla on yksilöllinen MAC-osoitteensa, voidaan verkosta sulkea kaikki siihen kuulumattomat, jos tukiasema rajoitetaan vain luvallisten laitteiden MAC-osoitteille. (Thomas 2004, 307.) MAC-osoitesuodatus ei kuitenkaan ole täysin turvallinen, ja siksi siihen ei kannata ainoastaan luottaa. Kannattaa ottaa huomioon, että MAC-osoitteita voidaan muuttaa. Joten päättäväinen hyökkääjä voi käyttää langatonta nuuskintaa selvittääkseen sallitun MAC-osoitteen ja asettaa PC:nsä vastaamaan luvallisia asetuksia. Langattomaan tukiasemaan tulee ottaa käyttöön autentikointi (todennus eli käyttäjän identiteetin varmistaminen) ja salausprotokollat. Yleisiä autentikointimenetelmiä on WEP (Wired Equivalent Privacy), WPA (Wireless Fidelity Protected Access), EAP (Extensible Authentication Protocol), (joista löytyy useampi vaihtoehto) ja WPA2. Salausprotokollissa yleisimpiä on WEP, WPA(TKIP, Temporal Key Integrity Protocol), WPA2(AES, Advanced Encryption Standard). Toisella varmistetaan siis oikea käyttäjä ja salausprotokollalla salataan langaton liikenne. WEP-protokollan tarkoitus on estää kaikista yksinkertaisimmat hyökkäysyritykset langattomaan verkkoon. Tänä päivänä WEPprotokollan murtaminen kestää muutamia minuutteja ammattilaiselta. Näin ollen kannattaa mieluummin käyttää WPA-salausta. WPA käyttää 128-bittistä pakettikohtaista salausavainta. WPA sisältää pakettien eheyttä valvovan MIC (Message Integrity Check)toiminnon, joka varmistaa jokaisen paketin, että mahdollinen hyökkääjä ei ole ottanut paketteja ja muuttanut niiden tietoja. Langatonta tietoturvaa voidaan parantaa monilla keinoilla, mutta myös langattomien lähiverkkojen sudenkuopat ovat saaneet runsaasti huomiota. Sen takia monet organisaatiot ovat kieltäneet kokonaan langattomat lähiverkot. Turvallisuustietoiset organisaatiot kuitenkin linnoittavat WLANinsa kerrosteisella tietoturvalla, joka sisältää seuraavia keinoja: • Langaton verkko sijoitetaan oman reititinliityntänsä taakse, jolloin yhteys voidaan tarpeen vaatiessa estää yhdessä kuristinpisteessä. • Rosvotukiasemien ja niihin liittyvien mahdollisten haavoittuvuuksien estäminen. • Tukiasemien fyysisellä ja loogisella tietoturvalla varmistetaan, ettei kukaan voi havaitsematta mennä tukiaseman luokse muuttamaan sen konfiguraatiota. • SSID:n muuttaminen ja satunnaisesti luodun SSID:n käyttö, jolloin yrityksessä tai verkosta ei voi saada mitään tietoa. 22 • SSID-yleislähetyksen kytkeminen pois päältä. • Yleislähetysavainten kierrätys vähintään kymmenen minuutin välein. • Salaus ja todennus, joihin saattaa sisältyä langattomassa verkossa toteutettu VPN (Virtual Private Network). • Tarjolla oleviin salauksiin tutustuminen ja oman vaihtoehdon valitseminen. • Langattoman verkon tietoturvakäytäntöjen luominen ja toimeenpano. • Ennakoivien turvatoimenpiteiden, kuten tunkeutumisen eston käyttöönotto. • Langattoman tukiaseman ei tulisi jakaa ylimääräisiä IP-osoitteita, vaan ainoastaan yrityksen tarvitsema määrä. (Thomas 2004, 311.) WLAN-verkkoon liitetyt tietokoneet kannattaa suojata erillisillä palomuureilla. Tämä sen takia, että varsinainen palomuuri, joka sijaitsee Internetin ja lähiverkon välillä ei suojaa langattomilta hyökkäyksiltä. Kannettavia tulee käytettyä eri paikoissa, joten ne altistuvat huomattavasti helpommin hyökkäyksille. Kaikki tietoturvaa parantavat ohjelmat (virustorjunta, anti-spyware ohjelmat jne.) ja oma henkilökohtainen käytös tulee huomioida liikuttaessa työpaikan ulkopuolella. Kannettaviin tietokoneisiin tulee asettaa BIOS (Basic Input-Output System)-salasana ja lisäksi myös käyttöjärjestelmän oma salasana. Näin tietoturva parantuu väärinkäytösten varalta, jos kone esimerkiksi jätetään yleiseen tilaan (lukittu kaikkien poistuessa) esimerkiksi kokoustaukojen aikana. Kannattaa myös säätää näytönsäästäjä lyhyelle viiveelle ja ottaa siihen käyttöön salasana. Tietokoneet kannattaa muutenkin aina lukita, kun poistutaan niiden läheisyydestä, myös työpaikalla. Varkaustilanteiden varalta olisi hyvä, että kaikki tärkeät tiedostot olisivat kryptattuja. Paras tapa tietoturvan kannalta langattoman verkon toteuttamiseksi olisi, että langallinen ja langaton verkko olisivat erillisiä. Tällä tavalla yrityksen varsinainen (johdoilla toteutettu) lähiverkko on huomattavasti turvallisempi. Yhteydet langattomasta verkosta varsinaiseen yrityksen verkkoon toteutetaan VPN-yhteyksillä palomuurin kautta. 2.11 Etäyhteydet Etäyhteyksiä tarvitaan, jotta käyttäjät voisivat toimia ja tehdä töitä paikasta riippumatta. Erilaisilla etäyhteyksillä mahdollistetaan käyttäjälle yrityksen resurssit, jotka ovat tietoverkossa. Tiedostoi- 23 hin voi päästä käsiksi mistä päin maailmaa tahansa, jos on käytössä internet. Siis jos tarvitset toimistolla olevasta työkoneestasi dokumentin, voit sen etäyhteydellä hakea kannettavaasi. Etäyhteys kannattaa aina suojata ja siksi käytetään salausprotokollia. Salausprotokollilla voidaan muodostaa suojattuja yhteyksiä. Niillä voidaan varmistaa, että mikään suojatulla yhteydellä lähetetty viesti ei ole muuttunut matkalla lähettäjältä vastaanottajalle, viestit ovat suojatun yhteyden toisen osapuolen lähettämiä ja/tai salakirjoittaa viestien sisällön. Salausprotokollat käyttävät usein tunnistus-, avaimensopimis- ja/tai avaintenjakoprotokollia. Kahden tietokoneen välillä oleva yhteys voidaan tarvittaessa suojata tavallisella salausprotokollan yhteydellä, kun taas kahden verkon välillä oleva yhteys täytyy suojata tunnelilla. (Ruohonen 2002, 96.) Monilla yrityksillä on vieläkin käytössä vuokralinjoja tai frame relaylla toteutetuista yksityisistä yhteyksistä. Nykyään turvallinen yhteys pystytään toteuttamaan VPN-verkoilla. VPN-verkot mahdollistavat etäyhteydet myös pienille yrityksille, koska kustannukset eivät ole suuret. Yhteyksiä voi muodostaa monella eri tavalla ja erilaisilla ohjelmilla riippuen käyttötarkoituksesta. Seuraavaksi aion esitellä pari hyvää vaihtoehtoa etäyhteyden muodostamiseen, tutustuminen muihin vaihtoehtoihin on myös suotavaa. 2.11.1 SSH Secure Shell eli yleisimmin SSH protokolla on yksi hyvä tapa kirjautua etätietokoneeseen. SSH toimii paljolti samalla tavalla kuin Telnet. Ero syntyy siinä, että SSH tarjoaa yhteydelle huomattavasti paremman tietoturvan. SSH on ohjelma, joka tarjoaa kahden tietokoneen välille salatun tiedonsiirtopolun, mahdollisen turvattoman verkon yli. (Thomas 2004, 145.) Yleensä SSH:ta käytetään etäkirjautumiseen, mutta protokollaa voidaan käyttää yleiskäyttöisenä salaustunnelina, joka pystyy kopioimaan tiedostoja, salaamaan sähköpostiyhteyksiä ja käynnistämään ohjelmia etäyhteyden yli. SSH:lla voidaan siis muodostaa kahden tietokoneen välille yhteys verkon yli salattuna. SSH toimii omana ohjelmanaan sekä työasemassa että palvelimessa, joten SSH-yhteyden avaaminen palvelimeen tai toiseen koneeseen tehdään käynnistämällä SSH-asiakasohjelma, joka avaa yhteyden palvelimessa/tietokoneessa käynnissä olevaan SSH-palvelinohjelmaan. (Ruohonen 2002, 287.) 24 Yksinkertaisimmillaan SSH muodostaa TCP-yhteyden (Transmission Control Protocol) isäntään ja todentaa käyttäjätunnusta ja salasanaa käyttämällä. Kun todennus on onnistunut, SSH aloittaa datan eli tiedon salauksen. (Thomas 2004, 149.) SSH:ta on kaksi versiota, joista ensimmäisessä (SSH1) oli useita virheitä sekä ongelmia, joten kannattaa käyttää uudempaa versiota (SSH2), jos on mahdollista. SSH ei auta suojaamaan sisäisiä järjestelmiä. (Thomas 2004, 145.) 2.11.2 VPN Virtuaalinen yksityisverkko (VPN, Virtual Private Network) on keino muodostaa salattu verkkoyhteys haluttuun kohteeseen. Kohteiden välille muodostetaan tunneli Internetin tai muun verkon kautta. VPN-verkko on siis julkisen verkon sisällä toimiva suojattu verkko. Tarkoituksena on käyttää olemassa olevaa julkista verkkoa (Internet) siten, että vain suojattuun verkkoon kuuluvat tietokoneet voivat lähettää ja vastaanottaa verkkoon osoitettuja viestejä. (Ruohonen 2002, 95.) Parhaiten tietotekniikkapalveluiden tarjoaminen turvallisesti ja järkevällä tavalla paikasta riippumatta onnistuu Internet Protocol Security Protocol- eli IPSec-protokollalla salatuin virtuaalisin yksityisverkoin (VPN) (Thomas 2004, 231). IPSec (IP security) on salausprotokolla, joka mahdollistaa: • viestien eheyden varmistamisen (varmistaa ettei viesti ole muuttunut matkalla) • viestien lähettäjän varmistaminen • viestien toistamisen estämisen • viestien salakirjoittamisen (Ruohonen 2002, 291.) VPN-verkon muodostamiseksi kahden eri verkon välille tulee molempiin verkkoihin asentaa VPN-yhdyskäytävä (VPN gateway), jotka avaavat välilleen yhteyden salausprotokollalla. Tämän jälkeen yhdyskäytävät tunneloivat kaikki niiden kautta kulkevat – toisen VPN-yhdyskätävän verkkoon matkalla olevat – paketit tämän yhteyden kautta. VPN-yhdyskäytävä voi toimia joko omana laitteenaan, osana palomuuria tai tietokoneessa (jossa on kaksi verkkokorttia). (Ruohonen 2002, 95.) VPN-verkkoja on kolmea päätyyppiä, jotka on hyvä tietää. Nämä antavat hieman käsitystä mistä on kyse: • VPN-etäyhteysverkot – Yksittäiset yhteyksien käyttäjät voivat muodostaa turvallisen yhteyden esimerkiksi toimistoon Internetin kautta. Kysymyksessä on yhteys, jolla työn- 25 tekijä pääsee yrityksen lähiverkkoon käsiksi kentältä. Heidän järjestelmissään on VPN-asiakasohjelma, joka tekee mahdolliseksi turvallisen linkin heidän ja yrityksen lähiverkon välille. • Toimipisteiden väliset VPN-verkot – Olemassa oleva lähiverkko laajennetaan muihin rakennuksiin tai toimipisteisiin erillislaitteita käyttämällä. Tällä tavalla eri paikoissa työskentelevä henkilö/henkilöstö voi käyttää samoja verkkopalveluja. Nämä VPN-verkot ovat aktiivisesti päällä kaiken aikaa. • VPN-extranet-verkot – Nämä verkot tekevät mahdolliseksi turvallisen sähköisen kaupankäynnin liikekumppanien, toimittajien ja asiakkaiden kanssa. VPN-extranet-verkot ovat VPN-intranet-verkkojen laajennus, jossa sisäinen verkko suojataan palomuurein. (Thomas 2004, 238.) 26 Kuva 1. VPN-Verkkojen tyypit (Thomas 2004, 238). Yhteyden saamiseksi ja toimimiseksi hyvin salattuna IPSec käyttää kolmea toisiaan täydentävää protokollaa. Nämä protokollat yhdessä käytettynä muodostavat yhtenäisen ja turvallisen, standardien mukaisen kehyksen, joka sopii erinomaisesti VPN-verkkoihin. IPSecstandardeissa on kuvattu kolme seuraavaa protokollaa: • Internet Security Association Key Management Protocol (ISAKMP) – Kuvaa vaiheen, jossa IPSec-yhteys neuvotellaan VPN:n muodostamiseksi. Ennen suojatun tunnelin muodostamista kohteiden pitää määritellä menetelmä todennetun aivaintenvaihdon suorittamiseksi eli toistensa todentamiseksi. • Encapsulated Security Protocol (ESP) – Tarjoaa datan luotettavuuden ja suojauksen valinnaiselle todennukselle ja uudelleensoiton havaitsemispalveluille. 27 • Authentication Header (AH) – Tarjoaa todennuksen ja uudelleensoiton estopalvelut (valinnainen). (Thomas 2004, 250.) Edellä kuvatut asiat ovat osa suojatun yhteyden muodostamiseen vaadittavia toimia. Käyttäjän ei välttämättä näistä tarvitse tietää. Nykyään palomuureista, reitittimistä, palvelimista ja tietokoneista. löytyvät valmiit ohjelmat, jotka muodostavat VPN-yhteyden. Pitää vain tietää tarvittavat tunnukset ja salasanat. Kannattaa tiedustella, miten omilla laitteilla kyseiset käytännöt toimivat. On kuitenkin hyvä olla jonkunlainen käsitys siitä, miten VPN-yhteys toimii. Yksinkertaisesti kuvattuna yhteyden muodostuttua kaikki tieto kulkee salattuna (kuvainnollisesti) tunnelia pitkin. Kummankin kohteen koneet purkavat tiedot sovituilla menetelmillä ymmärrettävään muotoon. 2.12 Varmuuskopiointi Nykyään suuri osa yrityksen dokumenteista, tiedoista ja toimintaan liittyvistä materiaaleista on sähköisessä muodossa tietokoneilla. Nämä tietokoneen kovalevyllä sijaitsevat tiedot ovat usein elintärkeitä yrityksen toiminnalle. Voidaan vain kuvitella miten käy, jos kyseiset tiedot tuhoutuisivat. On siis syytä varmistaa, että nämä tiedot ovat yrityksellä käytettävissä, ja siksi on otettava varmuuskopiot tiedostoista. Varmuuskopioiminen on tietoturvan perusta. Se on yksinkertaista ja edullista. Verkkopalvelimessa on aina paikka varmuuskopiointiyksikölle. Siihen voi kopioida tietoja palvelimen kiintolevystä sekä käyttäjien tietokoneista lähiverkon kautta. Varmuuskopiointiyksikkönä käytetään monenlaisia laitteita, esimerkiksi: nauhaasemaa, DVD:tä, CD:tä, muistitikkua ja kovalevyjä. Nauha-asemalla tiedot tallennetaan kaseteille. Nykyään keskisegmentiin kuuluu Super DLT-tekniikka (DLT, Digital Linear Tape), yhdelle nauhalle saadaan mahtumaan jopa 800 Gigaa dataa. AITformaatti (Advanced Intelligent Tape) on Sonyn julkaisema tekniikka. Tällä hetkellä AIT-5 tarjoaa n. 400 gigatavua tallenuskapasiteettia, siirtonopeudella 24 Mb/s. Vativimpiin tarkoituksiin Sony:lta löytyy S-AIT-formaatti, joka oli ensimmäisiä formaatteja, joka pystyy tallentamaan yli teratavun tietoa (pakattuna) yhdelle kasetille. (Wikipedia 2007.) LTO-tekniikka (Linear Tape-Open) on HP:n, IBM:n ja Seagate:n yhdessä kehittämä, sen tunnetuin versio on Ultrium-formaatti. Tallennus kapasiteettia löytyy (LTO-4) 800 gigatavua ja tiedonsiirtonopeudet ovat n. 120 Mb/s. (Wikipedia 28 2007.) Vaativimpiin tarpeisiin on kehitetty myös nauharobotteja, jotka vaihtavat useita kasetteja automaattisesti (Myhr ym. 2004, 41). CD-ROM- ja DVD-levyt riittävät vaatimattomimpiin tarpeisiin. Yksinkertaisimmissakin henkilökohtaisissa tietokoneissa on nykyään tallentava CD- tai DVD-asema. Ne soveltuvat hyvin omien ja joskus myös pienehkön yrityksen tietojen varmuuskopiointiin. On kuitenkin muistettava, että itse tallennetut CD- ja DVD-levyt ovat varsin arkoja. Niiden tallennuspintaa ei nimittäin suojaa lakkakerros, toisin kuin valmiiksi tallennettujen levyjen. Tavallinen vesijohtovesi voi tuhota pinnan. (Myhr ym. 2004, 41.) Yksi tapa varmistaa tietokoneen kovalevyllä olevat tiedot on peilata kovalevy. Windows XP:ssä peilauksen saa toteutettua helposti Disk Management:n kautta. Kovalevyn peilauksella varmistetaan, että tietoja ei menetetä vikatilanteissa. Peilattu kovalevy on sisällöltään identinen käytössä olevan levyn kanssa. Yrityksissä, joissa on palvelin käytössä, kannattaa palvelin asettaa suorittamaan varmuuskopiointi päivittäin. Palvelin voi tarvittaessa ajaa varmuuskopioinnin ulkoiselle kovalevylle tai mahdolliselle toiselle palvelimelle, joka sijaitsee toisessa osoitteessa. Varmuuskopiot tulisi säilyttää paloturvakaapissa tai eri osoitteessa kuin varsinaiset yrityksen tiedostot. Tällä varmistetaan tietojen säilyminen esimerkiksi tulipalon sattuessa. Jos ei halua investoida omaan paloturvakaappiin, niin varmuuskopiolle kannattaa vaikka hankkia pankista turvalokero, jonne kerran kuukaudessa vie varmenteen. Kopioinnit tulisi suorittaa tarvittavan usein, niin että vahingon sattuessa vahingot olisivat mahdollisimman pienet. Varmuuskopioinnin voi ajastaa tapahtuvaksi vaikka jokaisena iltana. Katastrofilta suojautuminen edellyttää, että varmuuskopiointi on kunnossa. Ei riitä, että varmuuskopiot otetaan säännöllisesti. Lisäksi tietojen palauttaminen varmuuskopioilta on testattava. Järjestelmän sisältö voidaan palauttaa helpommin käyttämällä erityistä tiedostojen kuvaa. Tällöin kiintolevyn koko sisältö varmuuskopioidaan. Kriisitilanteessa säästyy paljon aikaa, kun järjestelmä palautetaan tämän kopion avulla eikä kaikkia ohjelmia tarvitse asentaa uudelleen alusta alkaen. (Myhr ym. 2004, 34.) Yritys voi lisäksi ulkoistaa tärkeiden järjestelmien käytön. jolloin omissa tiloissa on tärkeistä tietokoneista ja tiedostoista mahdollisimman pieni osa. Pienen yrityksen kannattaa ostaa WWW- ja sähköpostipalvelin operaattorilta, WWW-hotellista tai konsulttiyritykseltä. Yhä useammat tietotekniset järjestelmät voi vuokrata. Näistä uusilla palvelumarkkinoilla vaikuttavista toimittajista käytetään nimitystä ASP (lyhenne sanoista Application Service Provider). Ne 29 tarjoavat laajan palveluvalikoiman esimerkiksi taloushallintoon, asiakassuhteiden hoitoon ja palkanlaskentaan. (Myhr ym. 2004, 35.) Varmuuskopiointiratkaisun laatu määräytyy harvoin tekniikan mukaan. Suorituskyvyllä on merkitystä vain silloin, jos käytettävyydelle asetetaan poikkeuksellisen suuret vaatimukset tai tietojen määrä on hyvin suuri suhteessa yrityksen kokoon. Tärkeintä on ottaa kattavat varmuuskopiot tiedoista. (Myhr ym. 2004, 39.) Tämä helpottaa tietojärjestelmän uudelleen pystyttämistä vikatilanteessa. 2.13 Laitteistot Markkinoilta löytyy monenlaisia hyödyllisiä laitteita, joilla voidaan varmistaa ja parantaa tietojärjestelmien tietoturvallisuutta. Nämä laitteet eivät ole kalliita edes pienelle yritykselle, ja kannattaa muistaa aina, mitä voi tapahtua ilman suojautumista uhkia vastaan. 2.13.1 Keskeytymätön virransyöttö ja varavoima UPS (Uninterrupted Power Supply) syöttää virtaa sähkökatkoksen aikana. Ainakin kaikissa palvelimissa tulee olla UPS-laite. Se suojaa järjestelmää ja tietoja sähkökatkosten aikana. Laitteen akuissa riittää virtaa palvelimelle. Perustason UPS-laitteessa on virtaa 30 minuutiksi. Tämä aika riittää palvelimen sammuttamiseen hallitusti. Jos virran täytyy riittää pidemmäksi ajaksi, on hankittava suurempi varavirtalaite. UPS-laite on eri asia kuin varavoimala, joka tuottaa tietokoneille virtaa jatkuvasti koko sähkökatkoksen ajan. Tällaisessa laitteessa on dieselgeneraattori. Nämä laitteet ovat kalliita, ja niitä käytetään vain suurissa tietokonekeskuksissa. UPS-laite soveltuu useimmille yrityksille. Niiden hinnat alkavat noin sadasta eurosta. (Myhr ym. 2004, 39.) Ylijännitesuoja on hyvä olla suojaamassa kaikkia sähkölaitteita mahdollisilta virtapiikeiltä. Nykyään myydään jakorasioita, joissa on integroituna ylijännitesuoja. Salamaniskut ja jännitepiikit voivat aiheuttaa huomattavia vaurioita elektronisille laitteille, kuten tietokoneille, tulostimille jne. Jännitteen vaihtelut ja virran epäpuhtaudet voivat saada aikaan tietokoneen lukkiutumisen tai tiedostojen katoamisen. Ylijännitesuoja/jakorasiat on suunniteltu suojaamaan tällaisilta ongelmilta, niissä on usein myös vakuutukset kyseisten kaltaisten vahinkojen sattuessa laitteille. Nykyään löytyy myös ylijännitesuojan/jakorasian ja UPS:n yhdistelmiä eli samassa laitteessa kumpikin. 30 2.13.2 Ylläpito Pienessä yrityksessä on harvemmin IT-henkilöitä jotka hoitavat ylläpidollisia tehtäviä, joten kannattaa nimetä henkilö, joka on vastuussa asiasta. Laitteet tarvitsevat myös ylläpidollisia toimenpiteitä siinä missä ohjelmiakin päivitetään. Tietokoneen eri komponenteille löytyy ajureita, joita kannattaa päivittää, kun niihin tulee päivityksiä. Sama koskee palvelimia ja reitittimiä. Näin laitteet toimivat paremmin ja ovat tietoturvan kannalta toimivimpia. Ohjelmistot kannattaa päivittää mahdollisimman usein, etenkin tietoturvaan liittyvät ohjelmat. Virustorjunta-, palomuuri- ja antispyware ohjelmistot kannattaa säätää automaattisesti päivittyviksi. Kannattaa tietenkin tehdä muitakin toimenpiteitä, kuten tietokoneen kovalevyn defragmentointi eli eheyttäminen aika ajoin. Tämä nopeuttaa kovalevyn tiedonhakemista. 2.13.3 Vanhojen laitteiden hävittäminen Vanhoja tietokoneita hävittäessä kannattaa olla tarkkana. Vanhalla kovalevyllä voi olla yritykselle tärkeitä tietoja tai muuten henkilökohtaisia tietoja. Pelkkä formatointi ei riitä tietojen pyyhkimiseen, vaan vanha kovalevy täytyisi kirjoittaa täyteen turhaa tietoa. Tämä siksi, että tieto jää kovalevyn pintaan. Toisin sanoen vanhat tiedot eivät tuhoudu kovalevyltä muuten kuin ylikirjoittamalla. Nykyään löytyy markkinoilta monia helppokäyttöisiä tiedonpalautusohjelmistoja, joita voi kuka tahansa hankkia. Näin voi halutessaan tutkia vanhoja kovalevyjä ja palauttaa tärkeitä tietoja käyttöönsä. Kannattaa muistaa, mitä hakkeri voi tällaisella tiedolla tehdä. Vaikka tiedostot olisi kryptattuja, niin ne voidaan saada selville. Markkinoilta löytyy monia tiedonhävitysohjelmia, joilla voidaan ylikirjoittaa vanhat tiedot. Näiden ohjelmien ostamisen kanssa kannattaa kuitenkin olla tarkkana, koska markkinoilla on sellaisiakin ohjelmia, joiden jäljiltä on testeissä löydetty tietoja. Ohjelmat eivät ole hirveän kalliita, varsinkaan suhteutettuna siihen, mitä kovalevyillä olevat tiedot voivat aiheuttaa väärissä käsissä. Isommille yrityksille tietojen tuhoaminen ohjelmistoilla on tärkeätä, koska tietokoneita ja palvelimia vaihdetaan usein. (Kirves 2007.) Kiintolevy voidaan tuhota myös fyysisesti hajottamalla se kappaleiksi, jolloin siitä ei enää voida saada dataa. Toinen keino on demagnetointi, millä tarkoitetaan kiintolevyn tai tallentamislaitteen altistamista suurtehomagneetille. Näin laitteen magneettivaraukset, jotka tulkitaan biteiksi, saadaan sekoitetuksi. Tämä aiheuttaa sen, 31 että tiedon luku laitteelta on mahdotonta. Demagnetoitu levy on käyttökelvoton, joten siitä tulee ongelmajätettä. Käytettäessä tiedostoja ylipyyhkivää ohjelmaa kannattaa muistaa, että se pyyhkii pois kaikki tiedot, käyttöjärjestelmiä myöden. Pyyhinnän jälkeen kovalevylle on asennettava uusiksi käyttöjärjestelmä, jos on tarvetta. (Kirves 2007.) 2.14 Salasanat Salasanat ovat tärkeä osa tietojärjestelmien tietosuojaa. Henkilökohtaisia salasanoja ei saa luovuttaa kenellekään (riippumatta henkilöiden asemasta yrityksessä), ne ovat aina henkilökohtaisia. Yksikään ammattilainen ja tietojärjestelmiä hoitava ei niitä tule kysymään, ja jos joku vaatii tietoonsa toisen salasanoja, on tästä ilmoitettava välittömästi tietoturvasta vastaavalle yksikölle tai henkilölle. Salasanat tulisi vaihtaa säännöllisesti, koska käyttäjien salasanat ovat ensimmäinen asia, jonka hyökkääjä yrittää murtaa (Thomas 2004, 161). Useimmissa järjestelmissä pystyy asettamaan automaattisen muistutuksen salasanan vaihdosta määrätyn ajan kuluttua. Kaikki järjestelmätason salasanat tulee vaihtaa neljännesvuosittain. Käyttäjätason salasanat (esimerkiksi sähköposti, web, työasema jne.) tulisi myös vaihtaa noin neljän kuukauden välein. Järjestelmätason oikeuksilla olevilla käyttäjätileillä on oltava eri salasanat, kuin kyseisten käyttäjien muilla tileillä. Salasanoja ei saa koskaan tallentaa tietokoneelle (Word, Notepad), sisällyttää sähköpostiviesteihin tai muihin sähköisessä muodossa tapahtuvaan viestintään. Salasanoja ei olisi suotavaa kirjoittaa edes paperille muistiin. Paras olisi keksiä sellainen salasana, jonka muistaa ulkoa. Salasanaa ei koskaan saa luovuttaa kenellekään, vaan tarvittaessa luoda omat salasanat muille ohjelmia käyttäville henkilöille. On tärkeää, että salasana sisältää useita merkkejä. Koskaan ei saisi käyttää salasanaa joka on selkeä sana, nimi, laulu, yksinkertainen numerosarja jne. Huonoilla, heikoilla salasanoilla on seuraavia piirteitä: • Salasanassa on alle kahdeksan merkkiä • Salasana on löydettävissä sanakirjasta (suomen- tai muunkielisestä) • Salasana on yleisesti käytössä oleva sana, kuten: o Perheen, lemmikkieläimen, ystävän, työtoverin, mielikuvitushahmon tai vastaavan nimi. 32 o Tietokoneentermi tai tietokoneen nimi, komento, verkko, yritys, laitteisto, ohjelmisto. o Syntymäpäivä tai muu henkilökohtainen tieto, kuten osoite tai puhelinnumero. o Yksinkertainen numero- tai kirjainsarja. o Jokin edellä mainituista takaperin. o Jokin edellä mainituista sanoista jatkettuna numerolla. o Urheilujoukkueet tai kuuluisan ihmiset. Vahvoilla salasanoilla on seuraavia piirteitä: • Ne sisältävät sekä isoja että pieniä kirjaimia. • Niissä on numeroita ja välimerkkejä (esimerkiksi 0-9, !”#¤%&/()=?@${[]+-~:;,.\). • Niissä on vähintään kahdeksan alfanumeerista merkkiä. • Eivät ole minkään kielen, slangin, murteen tai vastaavan sanoja. • Eivät perustu henkilökohtaisiin tietoihin, kuten perheenjäsenten nimiin tai vastaaviin. (Thomas 2004, 161.) 33 3 Yritys Suomesta löytyy tuhansia yksityisyrittäjiä, jotka työllistävät taas tuhansia muita ihmisiä. Kaikki näistä yrityksistä eivät välttämättä suoraan työllistä ihmisiä, mutta ne työllistävät väkeä omilla tarpeillaan sekä toimillaan. Heillä voi olla yrityksissään tärkeitä tietoja, jotka vaikuttavat muihin yrityksiin, ihmisiin, yhdistyksiin jne. On siis tärkeää, että yritykset edes hieman perehtyvät nykyiseen tietotekniikkaan, jos niissä sitä käytetään. Otetaan esimerkki henkilöstä, joka on yksityisyrittäjä ja pyörittää tilitoimistoa. Hänellä voi olla tietokoneella monien yritysten tilinpäätökset. Kriittisellä hetkellä tietokoneen kaatuminen ja tiedostojen tuhoutuminen voi aiheuttaa suuria vahinkoja. Tämän takia yritysten tulee tietää keinoja turvata liiketoiminta, sekä varautua tuleviin mahdollisiin uhkiin. On hyvä myös muistaa, että reilusti yli puolet tietoturvallisuuden ongelmista tietojärjestelmissä johtuu ihmisen toiminnasta, vain pieni osa laitteista, olosuhteista ja ohjelmistoista. Kun tilanne on tämä, ei pienenkään yrityksen tietoturvallisuutta voida hoitaa yksinomaan tietoteknisin ratkaisuin. Tarvitaan yleisiä periaatteita ja ohjeita tietoturvallisuudesta yrityksessä. (Teollisuuden Työnantajat 2001, 17.) 3.1 Riskien tuntemus Suurimmat tietoturvallisuuden ongelmat liittyvät huolimattomuuteen, ymmärtämättömyyteen, osaamattomuuteen ja muihin tietojärjestelmien teknisen toteutuksen ja käytön laadullisiin tekijöihin. Panostaminen tietojärjestelmien käyttö- ja toimintaympäristössä työskenteleviin ihmisiin ja turvallisuustietoisuuden lisäämiseen, sekä yhteiskunnan tuki tehokkaalle ja turvalliselle tietojenkäsittelylle menevät aina yksinomaisten tietoteknisten ratkaisujen edelle tietoturvallisuuden rakentamisessa. Tietotekniikan merkitys on kuitenkin korostunut ja tulee korostumaan entisestään tietojärjestelmien ja rakenteiden monimutkaistuessa. Tämä taas on suuri ongelma tiedon käytettävyyden ja saatavuuden näkökulmasta. (Teollisuuden Työnantajat 2001, 10.) Informaatioteknologian sovellukset sekä tietoverkkojen hallinta ovat monimutkaistuneet ja vaikeutuneet. Yhä harvemmat hallitsevat niiden toimintaa ja tietoverkkojen turvallisuutta. Sen vuoksi tietoturvallisuutta ja erisyisesti tietojärjestelmiin tunkeutumiseen käytettyjä tekniikoita, menetelmiä ja niiden vastatoimia hallitsevien henkilöiden palkkaaminen on selvästi lisääntynyt niin kansainväli- 34 sesti kuin Suomessakin. Myös tietojärjestelmään tunkeutumisen ilmaisevia ohjelmia (IDS, Intrusion Detection System) on tuotu markkinoille ja niitä on alettu hankkia (esimerkiksi RealSecure, NetRanger) (Teollisuuden Työnantajat 2001, 10.) Yrityksen tietoturvallisuuden lähtökohtana tulee olla sen tosiasian tunnustaminen, että jokaisen yrityksen tiedot voivat olla väärinkäytösten kohteena. Tämän todellisuuden vähätteleminen voi olla koko yritystoiminnan kannalta kohtalokasta. Tietoturvatoimenpiteiden tarkoituksena on varmistaa yritystoiminnan kannalta tärkeiden tietojen hallinta sovittavien pelisääntöjen mukaisesti. Pelisäännöt tarkoittavat yritysjohdon kannanottoa siihen, miten asiat järjestetään niin, että asiattomat ja ulkopuoliset eivät saa kontrolloimattomasti haltuunsa yrityksen tärkeitä tietoja. (Teollisuuden Työnantajat 2001, 11.) Kannattaa muistaa myös, että pitää varautua suojautumaan erilaisten vikojen, luonnontapahtumien tai tahallisten, tuottamuksellisten tai tapaturmaisten tekojen aiheuttamilta uhilta ja vahingoilta (tulipalot, vesivahingot, varkaus, ilkivalta, ukkosmyrsky, vahingot, laiteviat jne.). Koska tietoturvallisuus riippuu yrityksen jokaisen henkilön toiminnasta, on tärkeää, että yrityksellä on tietoturvallisuuden keskeisiä asioita koskeva ohjelma. Ohjelmasta käyvät selkeästi ilmi vastuut, yleiset periaatteet, yrityksen tietoturvallisuusohjeistus, perehdyttäminen, koulutus, ylläpito ja kehittäminen sekä toimintaohjeet ongelma- ja väärinkäyttötapausten varalta. (Teollisuuden Työnantajat 2001, 12.) 3.1.1 Riskianalyysi Riskianalyysin tarkoituksena on analysoida, arvioida ja kerätä tietoa siitä, mitkä asiat voivat aiheuttaa yrityksen toiminnan lamaantumisen tai vakavasti rajoittaa sen toimintaa. Esimerkiksi Internetistä löytyy useita valmiita ohjeita riskianalyysin toteuttamiseksi. Riskianalyysi sisältää tarvittavan yksityiskohtaisen tiedon kaikista organisaation tiedoista, joihin kohdistuu sellaisia uhkia, joihin on syytä varautua tai joilta pitää suojautua. Riskien seurauksista – tietoturvaloukkausten seurauksista – laaditaan vaikutuskartoitus (impact analysis), joka kertoo toteutuneiden riskien vaikutuksen organisaation toimintaan ja tietoturvaan. (Tammisalo 2007, 31.) Arvioi, mitä taloudellisia, teknisiä, juridisia ja toiminnallisia vahinkoja tietoturvaonnettomuus aiheuttaisi. Riskianalyysin on sisällettävä asiakkaille ja yritykselle aiheutuvat mahdolliset vahingot. 35 Analysoi lisäksi yksilölliset tietoturvauhat ja se miten ne vahingoittaisivat eri osastoja. (Myhr ym. 2004, 35.) 3.1.2 Verkkojen tietoturvaorganisaatiot On hyvä tietää, mistä saa kerättyä tietoturva-asioihin asianmukaista ja ajankohtaista tietoa. En kerro perusteellisemmin kyseisistä organisaatioista, mutta kannattaa käydä tutustumassa sivustoihin, joita löytyy alla olevasta listasta. Nämä organisaatiot keräävät tietoja nykyisin tunnetuista haavoittuvuuksista ja niistä voi hakea lisää tietoa koskien tietoturvaa: • • • • • • • • http://www.cve.mitre.org/ (sanakirja) http://www.cert.org tai http://www.cert.fi http://www.sans.org http://www.cisecurity.com http://www.sans.org./score http://www.isc.sans.org http://nvd.nist.gov/ http://www.securityfocus.com CVE (common vulnerabilities and exposures)on luettelo standardoiduista haavoittuvuuksien nimistä ja muista tietoturva-altistuksista. CERT (Computer Emergency Response Team) on Internet-tietoturvan asiantuntijakeskus. Se käsittelee tietokoneiden turvallisuuteen liittyviä tapahtumia ja haavoittuvuuksia sekä julkistaa tietoturvahälytyksiä, tutkii verkkojärjestelmien pitkäaikavälin muutoksia jne. SANS (SysAdmin, Audit, Network, Security) on laajalti tunnustettu johtava organisaatio tietoturvan tutkimuksessa, sertifioinnissa ja koulutuksessa. CIS (Center of Internet Security) määrittelee tehtäväkseen auttaa organisaatioita kautta maailman hallitsemaan tehokkaasti tietoturvaan liittyviä riskejä. Score on SANS/GIAC:n ja Center of Internet Securityn (CIS) yhteistyöhanke. Se koostuu eri organisaatioiden tietoturva-ammattilaisista, jotka työskentelevät kehittääkseen yhteiset minimistandardit sekä parhaita käytäntöjä koskevan tietovarannon. Internet Storm Center (ISC) on keskus, joka kerää päivittäin yli kolme miljoonaa tunkeutumisen havaitsemisen lokikirjausta. 36 NVD (National Vulnerability Database) on tietokoneiden haavoittuvuuksia sisältä hakutietokanta. Security Focus on maailman laajin tietoturva-ammattilaisten yhteisö. (Thomas 2004, 35.) 3.1.3 Tietoturvakäytännöt (tietoturvapolitiikka) Jokaisella yrityksellä, joka käyttää tietojärjestelmiä, missä voi olla yritykselle tärkeitä tietoja, tulisi olla tietoturvakäytäntö. Tietoturvakäytäntöjen luominen on tärkeä askel verkon suojaamisessa ja turvaamisessa. Käytännöillä luodaan perussäännöt hyväksyttävälle ja sopivalle käyttäytymiselle yrityksessä ja verkossa. Käytännöistä tulee ”oikeusohje”, johon kaikkea muuta verrataan. (Thomas 2004, 47.) Yrityksen tietoturvakäytäntöjä voidaan verrata yhteiskunnan sääntöihin ja lakeihin. Ilman niitä olisi mahdoton saada aikaan mitään arvokasta, ja tilanne voisi olla kaoottinen. Tieturvakäytäntö määrittelee, mikä on soveliasta sekä verkossa että sen ulkopuolella. Tämä on tietoturvakäytännön perustehtävä, mutta sen käyttökelpoisuudelle on olemassa monia muitakin perusteluja. Tietoturvakäytäntö: • • • • • • • • luo menettelytapoja koskevat odotukset määrittelee soveliaan käyttäytymisen kuvaa toiminnalliset ja liiketoiminnalliset periaatteet toimii väärinkäytöstapauksissa perustana henkilöstöhallinnon toimenpiteille määrittelee eri ryhmien roolit ja vastuut turvallisuuden takaamisessa toimii väärinkäytöstapauksissa tukena mahdollisille juridisille toimenpiteille määrittelee verkon tietoturvassa tarvittavat käsitteet ja mallit määrittelee mitä työkaluja tietoturva edellyttää ja toimii perusteena niiden hankintakustannuksille. (Thomas 2004, 48.) Tieturvakäytännön ansiosta yrityksen työntekijät ovat selvillä siitä, kuka on vastuussa mistäkin. Tietoturvakäytännössä määritellään yrityksen eri osastojen käytännöt ja prosessit. Näin esimerkiksi asiakaspalvelu tietää, että sen vastuulla on arkaluontoisten asiakastietojen suojaaminen, henkilöstöhallinto tietää, mitä työntekijöiltä tulee odottaa, ja valmistus ja tuotekehitys ymmärtävät, miten niiden 37 työn kallisarvoiset tulokset on suojattava. Tärkein tietoturvakäytännön tulos on tietenkin, mitä se tarkoittaa tietohallinnon kannalta. Tietohallinto osaa tällä perusteella konfiguroida palvelimet, tietää mitä työkaluja se tarvitsee ja osaa määritellä palomuurien säännöt, VPN-asetukset – luettelo on lähes loputon. (Thomas 2004, 48.) Yrityksissä, joissa tietoturvallisuudella on strategista, toimintaan ja kilpailuun liittyvää merkitystä, olisi laadittava toiminnan perusteeksi tietoturvakäytäntö eli tietoturvapolitiikka. Muutoin kirjataan yleensä keskeiset periaatteet käytännön tietoturvallisuustyölle. Hyväksyessään nämä periaatteet yrityksen johto sitoutuu noudattamaan tietoturvapolitiikkaa ja velvoittaa henkilöstöä noudattamaan sitä. (Teollisuuden Työnantajat 2001, 17.) PK yrityksen tietoturvapolitiikka (tietoturvakäytäntö) voisi olla seuraavan sisältöinen: Yrityksen liiketoiminnan ja taloudellisten etujen turvaamiseksi sekä erityisesti oikean, luotettavan tiedon saamiseksi ja tietojen käsittelyssä mahdollisesti aiheutuvien vahinkojen ennalta ehkäisemiseksi toteutetaan yrityksessä tietoturvallisuutta korostaen, että: • Yrityksen tietoasiakirjat, tietovälineet, tekniset tallenteet ja suullinen informaatio ovat yrityksen omaisuutta ja niiden antaminen yrityksen ulkopuolelle saa tapahtua vain yhtiön eduksi. • Yrityksellä on erilliset, kirjalliset ohjeet yrityssalaisen informaation merkitsemistä, käsittelyä, säilyttämistä ja hävittämistä varten. • Esimies antaa ohjeet tiedoksi jokaiselle työntekijälle työsopimuksen solmimisen tai toimeksiannon yhteydessä. • Jokainen työntekijä noudattaa tietoturvallisuudesta annettuja ohjeita ja vastaa omalta osaltaan tietoturvallisuudesta yrityksessä. (Teollisuuden Työnantajat 2001, 17.) Internetistä löytyy hyviä runkoja tietoturvakäytännöille, jos yrityksestä ei löydy ammattitaitoa sellaisen tekemiseen. SANS:n tietoturvakäytäntöjen projekti (http://www.sans.org/resources/policies) tarjoaa useita vaihtoehtoja tietoturvakäytännöiksi. (Thomas 2004, 48.) Edeltävän alaluvun (6.1.2) muillakin sivustoilla kannattaa käydä tutkimassa aiheeseen liittyvää materiaalia. 3.2 Tietoturvan laatu Monissa yrityksissä alkaa nykyään olla käytössä laatustandardit tai vastaava laatuohjelma. Tarkoitus on, että yrityksen kannalta tär- 38 keimmät toiminnot ja prosessit ovat dokumentoidut ja jatkuvan kehityksen kohteena. (Teollisuuden Työnantajat 2001, 16.) Yrityksen tietoturvallisuus on sellainen tärkeä alue eli laatutoiminnan moduuli, joka myös olisi toteutettavissa osana yrityksen muun toiminnan laatua (laatukäsikirjaa). Tietoturvallisuusasioiden tulisi olla osa päivittäistä toiminnan dokumentointia, ylläpitoa, koulutusta ja jatkuvaa parantamista. Kansainvälisiä tietoturvastandardeja on olemassa, kuten esimerkiksi BS 7799:1995, jota voi hyödyntää laatutyössä. Sellaisenaan se on melko raskas työväline otettavaksi käyttöön PK-ympäristössä. Standardi on käännetty suomeksi ja on saatavissa Suomen standardisoimisliitosta (BS 7799-1:fi,). (Teollisuuden Työnantajat 2001, 17.) Muita standardeja on ISO 17799, ISO 27000 – ISO 27005 ja sitten on vielä Infomation Security Forum:n (ISF) kehittämä standardi. ISF on kansainvälinen järjestö, jonka jäseninä on lähes 300 organisaatiota ympäri maailmaa. Suurin osa jäsenistä on suuria yrityksiä ja Suomesta jäseniä löytyy vajaat 15. Tärkein heidän tuotoksensa on ”Standard of Good Practise for Information Security” eli heidän oma standardinsa. (Laaksonen ym. 2006, 90.) 3.3 Laki tietoturvallisuudessa Suomen lainsäädäntö on kansainvälisestikin arvioiden erittäin edistyksellinen tiedon salassapidon ja erityisesti yritysvakoilun, yrityssalaisuuden väärinkäytön osalta. Tietoturvallisuuteen liittyvää lainsäädäntöä on viime vuosina lisätty ja kehitetty edelleen. Vakoilusäädäntö, samoin kuin tieto- ja viestintärikosten kriminalisointi on varsin uutta. Atk ja tietotekniikka on otettu huomioon kohteena tai rangaistavan teon tekemisen välineenä useissa ns. tavallisissa rikoksissa. (Teollisuuden Työnantajat 2001, 14.) Suomi on ollut esimerkillinen myös virusongelmien vastaisessa kansainvälisessä toiminnassa, kun se ensimmäisenä on kriminalisoinut tietokonevirusohjelman tekemisen ja levittämisen (RL 34:9a: Vaaran aiheuttaminen tietojenkäsittelylle). (Teollisuuden Työnantajat 2001, 14.) Yritystä suojelevat Suomen laissa monet kohdat, mutta nämä asiat olisi hyvä tuoda henkilöstölle tiedoksi. Seuraavat lait ja sopimukset määrittelevät minkälaiset vastuut kohdistuvat työntekijöille: työsopimuslaki, yhteistoimintalaki, vilpillinen kilpailu (eli laki sopimattomasta menettelystä elinkeinotoiminnassa), rikoslaki, yrityssalaisuus, vaitiolo- ja salassapitosopimus. 39 3.4 Tietoturvallisuusohjelma Yrityksen tietoturvallisuusohjelma perustuu tietoturvapolitiikkaan (tietoturvakäytäntö) ja yrityskohtaiseen tietoriskien analyysiin. Mitkä ovat meidän toimintamme kannalta kaikkein merkittävimmät tietoriskit ja miten ne hallitaan yrityksessämme? Mikä on yritysjohdon kannanotto ja sitoutuminen tietoturvallisuuden edistämiseen ja ylläpitämiseen yrityksessä eli tietoturvallisuuspolitiikka/tietoturvakäytäntö? Siinä on pari hyvää kysymystä esitettäväksi yritykselle. (Teollisuuden Työnantajat 2001, 18.) Tietoturvallisuusohjelman ei tarvitse olla laaja. Sen keskeinen tavoite on antaa suuntaviivat ja sisältö yrityksen tietoturvallisuusmenettelylle ja -kulttuurille. Hyviä tietoturvallisuuden avainkohtia on: • Sisällytä yrityksen hallituksen tai toimitusjohtajan kannanotto tietoturvallisuusohjelman johdanto-osaan. Tietoturvallisuuden ja yrityssalaisuuksien suojaamisen on lähdettävä yrityksen johdon tahdosta. • Kuvaile ohjelman tarkoitus ja tärkeys. Henkilöstön on ymmärrettävä ja miellettävä keskeinen roolinsa ja vastuunsa tietoturvallisuuden toteuttamisessa. • Erittele tarkoin, keitä kaikkia toimintaohjelma koskee. Muista omena henkilöstön osalta myös toisiin tehtäviin siirtyvät, eroavat ja erotetut henkilöt sekä laajasti kaikki ulkopuoliset sidosryhmät (ulkopuoliset palvelut, alihankkijat jne.). • Tee yrityssalaisuuksien käsittelyn ja muun tietoturvallisuuden kannalta tärkeiden avainhenkilöiden kanssa salassapitosopimus, joka koskee yrityssalaisuuksien lisäksi mm. kilpailevaa toimintaa ja työsuhdekeksintöjä. Tämä on tärkeää tehdä myös ulkopuolisten alihankkijoiden ja järjestelmäntoimittajien kanssa sekä kaikkien niiden kanssa, joilta hankitaan palveluja. Muista, että yrityksesi on vastuussa myös asiakkaiden, laitteistotoimittajien ja muiden sidosryhmien tietojen turvallisuudesta. • Määrittele, mikä tietoaineisto on suojatta. Ohjelmaan sisällytetään suojattavan tiedon yleiset ja erityiset periaatteet. • Määrittele ja ohjeista tiedon luokitteluperiaatteet siten, että jokainen tuntee ja tietää menettelyn. • Nimeä yhdyshenkilöt tärkeimpiin toimintayksikköihin tukemaan tietoturvallisuusmenettelyä ja vastuita. Tiedota nimetyt henkilöt yrityksen koko henkilöstölle. • Määrittele toimenpiteet väärinkäytösten tai rikollisen toiminnan varalta. Kirjaa ne toimenpiteet, jotka ovat tärkeitä selvitettäessä, mitä ja milloin on tapahtunut. Nimeä henkilö, johon otetaan yhteyttä, kun jotain yrityksen tietoturvallisuuspelisääntöjen kannalta epäilyttävää on tapahtunut. 40 • Määrittele tiedon käsittelyn, säilyttämisen, välittämisen, kirjaamisen, kopioinnin sekä hävittämisen periaatteet ja menettelytavat. • Järjestä tietoturvallisuuskoulutusta ja -valmennusta henkilökunnalle. Käytä tiedottamista ja julkaisuja hyväksesi pitääksesi yllä turvallisuustietoisuutta yrityksessäsi. • Määrittele, kuka on vastuussa tietoturvallisuusohjelman toteuttamisesta. (Teollisuuden Työnantajat 2001, 18.) Tärkeitä periaatteita tietoturvallisuusohjelmaa rakennettaessa: • NEED TO KNOW – kuka tietoa tarvitsee • NEED TO HOLD – kuka tietoa säilyttää • CLOSE TO YOU – tietoturvallisuusvälineet (kaapit, paperisilppurit, yms.) ovat lähellä sinua ja työskentelytiloissasi Tietoa on paljon ja sitä on yrityksessä eri muodoissa. Hallittu tietojen käsittely edellyttää yhteisiä pelisääntöjä. Edellä kirjatut periaatteet tarkoittavat käytännössä mm. sitä, että kaikki tieto, joka on kunkin henkilön tehtävän kannalta tärkeää, on hänen saatava. Kaikkia tietoja ei jaeta kaikille. (Teollisuuden Työnantajat 2001, 19.) Tietoturvallisuuden hoitamiseksi tarvittavat välineet on hankittava ja sijoitettava järkevästi: paperisilppuri kopiokoneen viereen tai läheisyyteen ja avainhenkilön työhuoneeseen. Muutoin niitä ei juuri käytetä. Sama koskee palo- ja murtoluokiteltua kassa- tai turvakaappia, jossa säilytetään tärkeimpiä asiakirjoja ja tietovälineiden varmuuskopioita. (Teollisuuden Työnantajat 2001, 19.) 3.5 Fyysinen ympäristö Fyysisellä turvallisuudella taataan yritykselle häiriötön ja turvallinen toimintaympäristö. Jokainen organisaatio tarvitsee fyysiset tilat toimintansa harjoittamiseen. Toimitilojen suojaaminen luo perustan kaikille muille suojaustoimille, joita tietoturvallisuuden ylläpitämiseksi käytetään. Ilman turvallista toimintaympäristöä ei tiedon luotettavuutta voida aukottomasti varmistaa. Tietojen käsittelyn fyysisen turvallisuuden suunnitteluun tarvitaan usein koko toimintaympäristön kattava turvallisuustarpeiden ja -ratkaisujen arviointi. (Laaksonen ym. 2006, 125.) Kaikki yrityksen tilat eivät ole fyysisen turvallisuuden kannalta samanarvoisia. Yleensä korkeaa suojausta vaativia kohteita ovat yrityksen omiin vahvuusalueisiin liittyvät tilat, esimerkiksi tuote- 41 kehitystilat, atk-laitetilat sekä hallinnolliset tilat. Ylipäätään fyysisen turvallisuuden suunnitelman piirissä tulisi olla kaikki tilat, joissa käsitellään yrityksen toiminnalle merkityksellistä tietoa. Fyysinen toimintaympäristö tulee arvioida säännöllisesti riskikartoitusten yhteydessä. Korjaus- ja kehitysehdotukset tulee kirjata ylös ja toteuttaa yleisen rakennus- ja korjaushankkeiden yhteydessä. (Laaksonen ym. 2006, 125.) Fyysisen turvallisuuden asianmukainen järjestäminen on periaatteessa helppoa ja siihen on saatavissa lisäohjeita monilta tahoilta. Tietojenkäsittelytilojen suojaamiseen on laadittu useita erilaisia tarkistuslistoja. ISO 27001 -standardi sisältää omat vaatimuksensa, ja esimerkiksi Suomen puolustusvoimat määrittelee turvalliset tilat hyvinkin tarkasti. Samoin VAHTI-ohjeissa sekä Viestintäviraston ja Rahoitustarkastuksen dokumenteissa otetaan kantaa tilojen suojaukseen. (Laaksonen ym. 2006, 125.) Fyysinen turvallisuus sisältää yrityksen tuotanto- ja toimitilojen fyysisen suojaamiseen liittyvät asiat, joilla pyritään estämään organisaation tarvitsemien tietojen tuhoutuminen, vahingoittuminen tai joutuminen vääriin käsiin. (Laaksonen ym. 2006, 126.) Seuraavaksi on lueteltu tietotekniikkalaitteiden ja laitetilojen suojaukseen liittyvät asiat, joiden avulla estetään luvaton tietoihin pääsy sekä suojataan tietoja katoamiselta tai vahingoittumiselta. Toimitilat tulee suojata ainakin seuraavilta asioilta: • varkaus (kiinteistön hälytysjärjestelmä, panssarilasit) • tulipalo ja lämpötilan liiallinen kohoaminen (palovaroittimet, sammutusjärjestelmät, paloturvakaapit, ilmastointi) • vesivahinko ja kosteus (nostaa laitteet pois lattiatasosta, laitetiloissa ei ole vesiputkia) • sähköhäiriö (ylijännitesuojat, UPS-laitteet ja varageneraattori, laitteiden toimivuus tulee testata säännöllisesti) • pöly (säännöllinen siivous, tilan käytön rajoittaminen) (Laaksonen ym. 2006, 127.) Kannattaa muistaa myös tarkistaa vakuutusyhtiön vaatimukset. Noudattamalla vakuutusyhtiöiden vakuutuskirjojen vaatimuksia monet tietoturvan kannalta oleelliset kohteet tulee suojattua. Vakuutuskirjan vaatimukset ovat hyvä lähtökohta organisaation jatkuvuussuunnitelmalle mahdollisten kriisien varalle. 42 3.6 Henkilöstö Yrityksen jokaisen työntekijän tulee huolehtia omalta osaltaan tietoturvallisuuspolitiikan tavoitteiden saavuttamisesta. Jotta työntekijä voi toimia tavoitteiden mukaisesti, on hänen osallistuttava yrityksen tietoturvallisuuskoulutuksiin sekä aktiivisesti sovellettava tietoturvaohjeita ja -toimintatapoja käytännön työtehtäviin. (Laaksonen ym. 2006, 137.) Jokainen työntekijä toimii työsopimuksensa ja muiden sopimusten sekä sitovien ohjeiden mukaisesti. Henkilöstön tulee suhtautua yrityksen tietoon ohjeiden mukaan ja noudattaa huolellisuutta tietojen käsittelyssä. Kriittisistä ja tärkeistä tehtävistä vastaava henkilö huolehtii siitä, että hänen varahenkilönsä tiedot ovat ajan tasalla. Henkilöstön tehtäviä ovat: • Tiedon luokittelu ja käsittely ohjeiden mukaisesti. • Luokitellun tiedon käsittely, siirtäminen ja säilyttäminen ohjeiden mukaisesti. • Omien salasanojen hallinta ja turvallinen käyttö. • Ohjeiden noudattaminen. • Varahenkilön tiedottaminen ja koulutus. • Heikkouksien ja puutteiden raportointi sovittuja raportointikanavia käyttäen. (Laaksonen ym. 2006, 137.) Palkattaville henkilöille voi tarvittaessa tehdä turvallisuusselvityksen esimerkiksi silloin, kun yritykseen palkataan uusia henkilöitä avaintehtäviin tai tehtäviin, joissa he joutuvat käsittelemään yrityssalaisia tietoja. Luotettavuustarkistus voi koskea myös yrityksen sidosryhmiä ja niiden edustajia, kuten ulkopuolisia palveluja, alihankkijoita, tai esimerkiksi ulkomaalaisia henkilöitä, jotka tulevat yritykseen neuvottelemaan ja yhteisiin projekteihin. Turvallisuusselvitykset ovat suojelupoliisin lakisääteistä toimintaa. Selvitystä voidaan pyytää suojelupoliisilta lähinnä silloin, kun on kyseessä valtakunnan turvallisuus tai merkittävät taloudelliset edut. (Teollisuuden Työnantajat 2001, 21.) Henkilöstöä koskee tietenkin Suomen laissa määritetyt säädännöt vaitiolosta ja salassapidosta (lain 6. luvussa salassapitovelvoitteet, 24§:n 32 erillistä kohtaa) (Teollisuuden Työnantajat 2001, 22). Kannattaa siis muistaa, että vaitiolo koskee automaattisesti kaikkia. Kannattaa kuitenkin varmistaa yrityksen salaisten tietojen turvallisuus erillisillä salassapito- ja vaitiolosopimuksilla. 43 3.6.1 Henkilökunnan koulutus Monet tietoturvaperiaatteet kariutuvat laiskuuden, osaamattomuuden tai muiden inhimillisten tekijöiden vuoksi. Vaikka tietoturvaperiaatteet olisi muotoiltu miten hyvin ja laajasti tahansa, ne toimivat käytännössä vain, jos ne tunnetaan ja niistä vastuussa olevat henkilöt voivat noudattaa niitä. Koulutus kannattaa jakaa yleiseen osaan, jossa käsitellään kaikkia koskevia aiheita, sekä osaan, jossa henkilöstöä opetetaan käyttämän tietoturvan apuvälineitä. Tämä edellyttää erityistä sitoutumista hallinnollisilta vastuuhenkilöiltä, jotka esimerkiksi vastaavat käyttöoikeuksista, palomuurin toiminasta ja varmuuskopioinnista. (Myhr ym. 2004, 37.) Koulutuksen järjestäminen sisäisenä seminaarina tai luokkahuoneopetuksena painottaa tietoturvakysymysten tärkeyttä. Tämä auttaa ymmärtämään tietoturvan merkityksen ja vahvistamaan henkilöstön sitoutumista. (Myhr ym. 2004, 37.) Koulutus kannattaa jaksottaa pitkälle aikavälille. Tämä osoittaa, että yrityksen tietoturvatyö on pitkäjänteistä ja että näitä oppeja ei ole tarkoitus unohtaa viikossa eikä vuodessa. Yrityksen järjestelmissä ja toiminnassa tapahtuvat muutokset ja uusi henkilöstö voivat olla syy koulutuksen uusimiseen. (Myhr ym. 2004, 37.) Tässä lyhyt lista henkilökunnan kouluttamisesta: • Muista selvittää toimintatapojen lisäksi syyt. Käyttäjät omaksuvat tiedot helpommin, jos heille selvitetään ongelma ja sen ratkaisu. • Toista koulutus usein. Kerro tärkeistä asioista ja perustele, miksi ne ovat tärkeitä. • Laadi tietoturvatoimintaperiaatteista tarkistusluettelo ja aseta se näkyville paikoille, kuten kahvihuoneeseen jne. • Anna henkilöstölle muistilappu tai pöytäkortti, jota he voivat pitää työpöydällä. • Varmista, että tietotekniikkaa koskevat tietoturvatoimintaperiaatteet ovat kaikkien tiedossa. (Myhr ym. 2004, 37.) 3.6.2 Etätyö Tietokoneen avulla tehtävä etätyö on yleistynyt. Jatkuvasti paranevat tietoliikenneyhteydet vauhdittavat tätä kehitystä. Koska etätyö edellyttää usein sisäisten järjestelmien avaamista ulkoiselle tietolii- 44 kenteelle, monia tärkeitä tietoturvanäkökohtia on tarkasteltava perusteellisesti. (Myhr ym. 2004, 15.) Yleisesti ottaen etätyöpisteessä on vaikea valvoa tietoturvallisuutta yhtä tehokkaasti kuin toimistossa. Siksi kannattaa mieluummin vähentää etätyön tietoturvariskejä ja niiden mahdollisia seurauksia, kuin pyrkiä samaan tietoturvan tasoon kuin toimistossa. Ennen kaikkea on pyrittävä mahdollisuuksien mukaan välttämään tärkeiden tietojen tallentamista kannettavaan tai kotitietokoneeseen. (Myhr ym. 2004, 15.) Etätyön yleiset varo-ohjeet: • Käsittele luottamuksellista aineistoa huolellisesti. • Älä anna muiden ihmisten tai perheenjäsenten käyttää työskentelyyn tarkoitettua tietokonettasi. • Älä koskaan jätä tietokonetta ilman valvontaa tai lukitsematta. Varmista, että salasanalla varustettu näytönsäästäjä suojaa tietokonetta, kun et käytä sitä. • Ole erityisen huolellinen lentokentillä tai hotelleissa. Pidä tietokone aina käden ulottuvilla ja lukittuna kantolaukkuunsa. • Jos tietokone varastetaan, ilmoita asiasta heti tietotekniikkavastuuhenkilölle ja esimiehellesi. • Jos lataat ohjelmia tai tiedostoja Internetistä, tutki ne ennen asentamista. • Älä asenna ohjelmistoa, johon ei ole käyttöoikeuksia. Tarkista ennen asentamista, että yritys on hyväksynyt ohjelman asentamisen. • Yrityksen tietoja saa käyttää vain työntekoon tarkoitetulla tietokoneella. • Yrityksen verkkoon saa muodostaa vain VPN-yhteyden. • Tietokone on suojattava sekä virustorjuntaohjelman että työasemakohtaisen palomuurin avulla. (Myhr ym. 2004, 16.) 3.6.3 Työ- ja liikematkat Jokainen on matkoilla yrityksensä edustaja ja avainhenkilö. Paikoissa, joissa sivulliset voivat kuulla (julkiset kulkuvälineet, ravintolat jne.), tulee välttää keskustelua yrityssalaisuuksista. Sama tilanne voi koskea myös tuttavia, kaveripiiriä ja sukulaisia. Mukana pidetään vain tarpeelliset asiakirjat ja tietovälineet, joita tarvitaan työskenneltäessä esimerkiksi kannettavalla tietokoneella. Yrityssalaisia tietoja ei taltioida kiintolevylle, vaan muille sopiville tietovä- 45 lineille (disketti, CD-rom, DVD ja muistitikku), ellei käytössä ole erityinen salakirjoitusohjelma. Salakirjoitusta kannattaa käyttää myös tärkeiden tietojen kohdalla muissakin tietovälineissä. Jos kannettava tietokone anastetaan, ei samalla menetetä tärkeitä tietoja. (Teollisuuden Työnantajat 2001, 24.) Matkapuhelinviestinnässä on otettava huomioon, että gsm-salaus on verkon ominaisuus, ei käyttölaitteen (ainakaan toistaiseksi). On tiedettävä, onko ao. maan gsm-operaattorilla verkossa salaus ja minkä tasoinen se on. (Teollisuuden Työnantajat 2001, 24.) Matkapuhelimesta on myös syytä huolehtia. Sekin voidaan anastaa ja kustannusten lisäksi voidaan menettää tärkeitä tietoja, joita on välitetty esim. boxiin eli matkapuhelimen postilaatikkoon. Auki oleva matkapuhelin voi välittää neuvottelusta tai keskustelutilanteesta puheenvuorot sellaisenaan mihin tahansa paikkaan, jonne on soitettu ennen tilaisuutta ja jätetty matkapuhelin tarkoituksellisesti auki. Matkapuhelinta voidaan myös käyttää salakuunteluun omistajan tietämättä, niin kauan kuin siinä on akku kiinni. Nykyajan älypuhelimiin voi myös tarttua viruksia ja siksi nekin tulisi suojata torjuntaohjelmilla. (Teollisuuden Työnantajat 2001, 24.) 3.7 Kulunvalvonta PK-yrityksissä yrityssalaisuuksia voi suojata tehokkaasti myös kulunvalvonnan ja vierailumenettelyn keinoin. Kulunvalvonta on olennainen osa työympäristön ja asioinnin turvallisuutta. Kulunvalvonnan tarkoitus on pääsääntöisesti estää asiattomien tahojen pääsy yrityksen tiloihin ja sallia omien työntekijöiden kulku siellä, missä se on heidän työtehtäviensä kannalta tarpeellista. Kulunvalvonta on lain mukaan ”lievempi” vaihtoehto kuin kameravalvonta, ja työnantajan pitäisikin harkita ensin sen käyttöä ennen kuin turvaudutaan kameravalvontaan. Kulunvalvonnalla on myös mahdollisuus parantaa asiakaspalvelua, koska isommissa yrityksissä yleiset ”aulavahdit” voivat ilmoittaa asiakkaille, missä heidän etsimänsä henkilö kulloinkin on. (Laaksonen ym. 2006, 51.) 46 Kulunvalvonta voidaan hoitaa: • Teknisellä valvonnalla, johon kuuluvat valvontakamerat ja erilaiset hälytyslaitteet, rikosilmaisimet. • Henkilövalvonnalla (vartiointi, henkilöstön oma huomiointi). • Kuten nykyisin useimmiten toteutetaan, näiden yhdistelmänä, jossa teknisen järjestelmän ilmoituksia ja kuvaa seuraa koulutettu valvontahenkilö(stö). (Teollisuuden Työnantajat 2001, 23.) Jokainen yrityksen henkilö voi osallistua kulunvalvontaan mm. siten, että ohjaa ystävällisesti mutta päättäväisesti asiattomat henkilöt oikeaan paikkaan. Työpaikalla ei ulkopuolisten henkilöiden tulisi voida kulkea ilman isäntää. Erityisesti on tärkeä muistaa, että jokainen vastaa omista vieraistaan ja heidän kulkemisistaan yrityksessä, joko omakohtaisesti tai sihteerin tai muun henkilön avustuksella. (Teollisuuden Työnantajat 2001, 23.) Yrityksessä järjestettävät vierailut ja kokoukset tulee suunnitella etukäteen ja niin hyvin kuin mahdollista. Esimerkiksi kokoustilat ja kulkureitit on valittava huolella. Tulee välttää näyttämästä vieraalle sellaisia tietoja ja olosuhteita, joiden näyttäminen saattaa aiheuttaa yritykselle vahinkoa. (Teollisuuden Työnantajat 2001, 23.) Tarvittaessa ilmoitetaan ennakkoon kuvaus-, nahoitus- tai matkapuhelimen käyttökiellosta vierailun tai kokouksen aikana. 3.8 Yrityksen tarpeet Yrityksen tietojärjestelmää toteuttaessa kannattaa huomioida mahdollinen yrityksen kasvu sekä kehittyminen. Hyvä tapa on kirjata paperille, millaisia tarpeita yrityksellä on koskien tietojärjestelmää. Esimerkiksi muutaman hengen yrityksen ei välttämättä kannata hankkia omaa sähköpostipalvelinta tai palvelinta Internet-sivustoille. Operaattoreilta ja ASP-yrityksiltä (Application Service Provider) saa ostettua kyseiset palvelut ja näin säästää rahaa ja vaivaa. Tietotekniikkaan saa nopeasti investoitua suuri summia, joten on erittäin tärkeää tietää omat tarpeensa tietojärjestelmää koskien. Kannattaa vaikka konsultoida kyseistä yritystä, jolta ostaa laitteet, sekä konsultoida riippumatonta tahoa. Sama koskee myös ohjelmistoja, jotka parantavat tietoturvaa. Monia erittäin toimivia ohjelmistoja saa ilmaiseksi Internetistä, kannattaa vaan varmistaa, että voittoa tekevä taho eli yritys saa niitä käyttää. 47 4 Käytännön esimerkki Kerron seuraavaksi käytännön esimerkin pienyrityksen verkon toteuttamisesta, mikä helpottaa ymmärtämään edellä esiteltyjä asioita käytännössä. Esimerkissä on selvitetty kuinka toteuttaa teknisesti pienen yrityksen lähiverkko. 4.1 Lähiverkon rakenne Yrityksen verkko käsittää reitittimen, jossa on kytkin, modeemi ja palomuuri samassa, langattoman tukiaseman, neljä pöytätietokonetta, monitoimisen tulostimen (laitteessa on kopiokone, tulostin, skanneri ja faksi), tiedostopalvelimen, kaksi kannettavaa tietokonetta, kytkimen ja ulkoisen kovalevyn. Reitittimenä toimii Cisco 827H, joka on tarkoitettu ADSL-linjaan. Langattomana tukiasemana toimii Linksys WAP54G Wireless Access Point. Kytkimenä toimii HP E9080A (22 porttia). Tiedostopalvelimen käyttöjärjestelmänä on Windows Small Business Server 2003 R2. Kuva 2. Lähiverkon rakenne 48 4.1.1 Reititin Reitittimen asetuksista ensimmäiseksi muutettiin salasana. Tämän jälkeen voidaan aloittaa konfiguroimaan muita asetuksia. IP-osoitteiden jakaminen tiputettiin heti kymmeneen osoitteeseen, koska laitteen ei tarvitse useampia jakaa, IP avaruus on 10.10.100.10 – 20. Muutama osoite otettiin varalle. Reitittimellä on kiinteä IPosoite 85.165.75.132. Useimmissa laitteissa on nykyään oletuksena NAT (Network Address Translation) päällä, samoin myös tässä laitteessa. NAT piilottaa lähiverkon IP-osoitteet ulkopuolisilta yhden osoitteen taakse. Kyseinen ominaisuus pidettiin käytössä. Reitittimellä on annettu kaikkien käytössä olevien laitteiden MACosoitteet ja kaikki muut ovat suljettu ulkopuolelle. Reititintä ei pääse konfiguroimaan kuin yhdestä portista ja yhdestä IP-osoitteesta. Kaikille muille koneille on laitettu kiinteät IP-osoitteet, paitsi kannettaville jaetaan osoitteet DHCP:llä (Dynamic Host Configuration Protocol). Reititin sisältää myös palomuurin, jonka perusasetukset olivat tarpeeksi kattavat eli niihin ei tarvinnut koskea. Portteja avataan tarpeen mukaan. Seuraavat portit on avattu: • • • • • • • • • 20, 21, tiedostojen kopiointiin käyttettävä protokolla (FTP, File transfer protocol) 22, salattujen etäyhteyksien muodostaminen (SSH, Secure Shell) 23, pääteyhteys (Telnet) 25, sähköpostin lähettäminen ja vastaanottaminen (SMTP, Simple Mail Transfer Protocol) 53, nimiselvitys (DNS, Domain Name System) 80, web-selaus (HTTP, Hypertext Transfer Protocol) 111, etäproseduurikutsut (RPC, Remote Procedure Call) 193, keskustelu (chat), (IRC, Internet Relay Chat) 443, salattu yhteys www-selailuun (mm. pankkiyhteydet ja verkkokauppa), (HTTPS, Hypertext Transfer Protocol Secure) Reititin pitää myös sisällään VPN-tuen. 4.1.2 WLAN tukiasema Langattoman tukiaseman SSID on ensimmäiseksi vaihdettu salasanamaiseksi (katso luku 2.14, s.30) ja otettu yleislähetys pois päältä. IP-tukiasemalla on kiinteä IP-osoite ja laitteen konfiguroin- 49 tiin tarvitaan käyttäjätunnus ja salasana. Laitteen konfigurointi tapahtuu web-liittymän kautta. Langattoman verkon asetuksissa on käytössä WPA(TKIP)-salaus (ks. s.20) (128-bittiä), jolla kryptataan kannettavien tietokoneiden ja langattoman tukiaseman välinen liikenne. Yleislähetysavainta vaihdetaan 10 minuutin välein. Tukiasemaan on asetettu MAC-suodatus johon on annettu kahden kannettavan MAC-osoitteet, muut suljetaan ulkopuolelle. SSID ja WPA-avain vaihdetaan vuosineljänneksittäin, lähetys kanavaksi asetetaan kanava 13, sitä vaihdetaan tarvittaessa. Kannettavissa ei kannata pitää langatonta lähetintä päällä, jos niitä ei käytetä. Sama koskee myös bluetooth-lähetintä. Tämä siksi, että ne eivät altistaisi konetta tietoturvauhille ja kuluttaisi tietokoneen akkua. 4.1.3 Palvelin Käyttöjärjestelmäksi on valittu Windows Small Business Server 2003, josta on otettu käyttöön AD (Active Directory), tiedostopalvelin, Windows backup ja shadow copy. Windows Small Business Server sisältää ohjatun varmuuskopio määrityksen, tämän avulla voidaan määritellä varmennettavat tiedostot, varmuuskopion tallennuspaikan (kiintolevy, nauha-asema jne.) ja kuinka usein varmuuskopiointi suoritetaan. Varmuuskopioinnin voi käynnistää myös manuaalisesti työkalun avulla. (Microsoft Corporation 2007.) Shadow copy toimii myös Windows XP professinal:ssa. Shadow copy pystyy ottamaan käynnissä olevista tiedostoista varmuuskopioita tai taltioita (niin sanottuja snap-shotteja). Toiminto toimii myös, jos varmuuskopiota tehdessä on joku tiedosto työn alla. Joskus olet voinut huomata, esimerkiksi Word:n kaatuessa, että Windows kysyy palautetaanko aikaisempi istunto. (Microsoft Corporation 2007.) AD:hen tehtiin kaksi GPO:a (Group Policy), toinen käyttäjille ja toinen tietokoneille. GPO:ssa määriteltiin muun muassa salasanakäytännöt. Salasanakäytännöissä määritellään salasanan pituus, vanhetumis aika, virheellisten syöttöjen määrä, sekä salasanan kompleksisuus. AD otettiin käyttöön, koska yrityksen odotetaan kasvavan lähitulevaisuudessa. Tällä hetkellä ei ole vielä tarvinnut tehdä monimutkaisempia määrittelyjä. Tiedostopalvelimella jaetaan käyttäjille yhteistä kovalevytilaa, sekä omat kansiot. Kaikki tärkeä informaatio tullaan tallentamaan ja pitää tallentaa palvelimelle. Johtohenkilöiden kansiot ovat suojattu muilta käyttäjiltä. Palvelimelta kaikki tiedostot saadaan varmuuskopioitua DVD-levyille, sekä ulkoiselle kovalevylle. Ulkoinen kovalevy laitetaan aina yöksi paloturvakaappiin. Palvelimessa on kaksi kovalevyä, jotka ovat peilattu keskenään. 50 4.1.4 Tietokoneet Kaikissa tietokoneissa on Windows XP Pro SP2 -käyttöjärjestelmä. Tietokoneissa tietoturvaa kohennettiin ottamalla käyttöön näytönsäästäjään kytketty salasana, joka lukitsee koneen kymmenen minuutin viiveellä. GPO:ssa on myös määritelty, että jos konetta ei käytetä kymmeneen minuuttiin, koneet lukittuvat. Kannettavissa tietokoneissa on otettu käyttöön BIOS-salasana, kiintolevyn salasana ja käyttäjätilin salasana. Tärkeimmät tiedot sisältävät kansiot kryptataan varmuuden vuoksi. Käyttäjiä on opastettu pitämään kannettavissa aina langaton radio sekä bluetooth pois päältä, kun niitä ei käytetä. Kannettavissa on myös erikseen asennettuna ohjelmistopalomuurit virustorjunnan lisäksi. Kaikissa tietokoneissa on virustorjuntaohjelmien lisäksi anti-spyware ohjelmisto, Windows Defender, sekä McAfee spyware asetukset päällä. Virustorjunta ohjelmistona käytetään McAfee VirusScan Enterprise 8.5:tä. Virustutkasta on otettu päälle ei toivottujen ohjelmien (unwanted programs) asetus, jolla estetään spyware, adware, jokes, key-loggers ja dialers (haitta- ja vakoiluohjelmat). Yleisenä käytäntönä kaikkia käyttäjiä on opastettu aina lukitsemaan tietokone (Ctrl-Alt-Del). Kannettavia tietokoneita ei koskaan saa jättää yleisiin tiloihin vartioimatta tai esimerkiksi autoon. Tietokoneet sisältävät arkaluontoista materiaalia ja niitä on käsiteltävä erityisellä huolellisuudella. Kannettavia tietokoneita ei myöskään saa antaa muiden henkilöiden käytettäväksi esimerkiksi kotona (koneet ovat henkilökohtaisia). Kannettavissa tietokoneissa on sormejälkitunnistus. Käyttöoikeuksia on rajoitettu kaikissa tietokoneissa käyttäjän tarpeiden mukaan. Hallinto-oikeudet on annettu järjestelmänvalvojalle ja hänen varamiehelleen. 4.3 Varmuuskopiointi Varmuuskopiointi suoritetaan päivittäin palvelimelta ulkoiselle kovalevylle. Varmuuskopiointi ajetaan Windows backup:lla. Joka maanantai tarkistetaan onko varmuuskopiointi suoritettu. Aikaisemmin mainittiin jo, että palvelimella on kaksi kovalevyä, jotka peilataan keskenään. 51 Varmuuskopiota säilytetään paloturvakaapissa, joka kestää myös perinteiset ryöstöyritykset. Ulkoinen kovalevy laitetaan joka päivä kaappiin. Kaappi on sijoitettu yrityksessä sellaiseen paikkaan, missä se ei ole ulkopuolisten nähtävillä, sekä on otettu huomioon kiinteistön osalta rakenteet koskien paloturvallisuutta ja vesivahinkoja. Palvelinkaappi on sijoitettu samaan tilaan. 52 5 Yhteenveto Tietoturva on käsitteenä erittäin laaja, se ei pelkästään käsitä tietojärjestelmiä, vaan kaiken toiminnan mikä liittyy yrityksen toiminnan jatkuvuuteen. Tietoyhteiskunnan kasvaessa ja maailman kehittyessä tietoturva tulee monimutkaistumaan, minkä vuoksi tietoturvan tarve tulee myös kasvamaan. Tietoturva on hyvä aloittaa pienessä yrityksessä teknisestä tietojärjestelmän toteutuksesta. Tarkoitus on varmistaa, että yrityksen tietojärjestelmä käsittää kaikki tarvittavat laitteet, jotka varmistavat tietojen säilymisen ja liiketoiminnan jatkuvuuden. Kun yrityksen tietoverkko laitteineen ja ohjelmistoineen on toiminnassa ja tietoturva on teknisesti varmistettu, on aika miettiä tietoturvakäytäntöjä. Kannattaa muistaa, että ihminen on suurin tietoturvaongelmien aiheuttaja, joten on erittäin tärkeää, että yrityksen koko henkilöstö koulutetaan toimimaan tietoturvallisesti. Lehdistä voi lukea viikoittain, kuinka eri yritykset ovat joutuneet erilaisiin vaikeuksiin viruksien tai muiden uhkien takia. Kaikkien olisi syytä varautua selviytymään mahdollisista ongelmista, jopa kotitietokoneen käyttäjien. Digiaikana olisi ikävää, jos kaikki kuvat ja tärkeät tiedot katoaisivat koneelta ja ei olisi minkäänlaista varmuuskopiota. Tietoturvasta huolehtiminen on kaikista tärkein tietojärjestelmiin liittyvä asia. Ilman riittävää tietoturvaa organisaatiot tai kotikäyttäjät eivät voi toimia vakaasti ja luotettavasti. Tietoturvan toteuttaminen ja sen ymmärtäminen on monimutkaista, mutta pakollista nykyisessä maailmassa. 5.1 Työn rajaus ja siihen liittyneet ongelmat Saadessani idean tehdä tutkintotyön pienyritysten tietoturvasta en käsittänyt, kuinka laaja aihepiiri on. Haastavinta aiheen rajauksessa olikin päättää, mitkä olisivat oleellisia asioita liittyen PK-yrittäjän tietoturvaan. Tavoitteena oli selvittää ja esitellä pääpiirteittäin tärkeimmät tietoturvallisuuteen liittyvät asiat siten, että lukija saisi kokonaiskuvan tietoturvallisuuden tärkeydestä ja vinkkejä sen toteuttamiseen. Aiheen käsitteleminen ja työn kirjoittaminen oli minulle erittäin haastavaa. Toivottavasti työstä olisi jonkinlaista hyötyä pienten yritysten omistajille ja työntekijöille yrityksen tietoturvan toteuttamisessa. Loppujen lopuksi olen itse tyytyväinen työhön, koska se ainakin herättää ymmärryksen tietoturvan tärkeyteen. 53 5.2 Loppusanat Käsittelemäni aihe kiinnostaa itseäni edelleen ja siksi olen myös näin jälkeenpäin tyytyväinen valintaani. Sain idean aiheeseen jo yli vuosi sitten. Selailin silloin aiemmin tehtyjä tutkintotöitä ja kyseisestä aiheesta ei ollut tehty kovin montaa työtä. Tällä hetkellä, kun olen saanut työni valmiiksi, aiheesta on kuitenkin tullut muitakin töitä. Olisi siis pitänyt kirjoittaa nopeammin työ valmiiksi. Työtä kirjoittaessani huomasin, kuinka vähän itsekään tiedän tietoturvallisuudesta. Tietoturvallisuus pitää sisällään lukemattomia asioita: kaiken mahdollisen tietojärjestelmiin, Internetiin ja verkkoihin liittyvän. Aiheesta löytyy tietoa ja tutkimukselle näkökulmia vaikka kuinka paljon. Haasteellisinta oli saada käsiteltyä tiiviisti mutta tarpeeksi informatiivisesti tärkeimmät pienen yrityksen tietoturvallisuuteen liittyvät asiat. Kirjoittamisen edetessä jouduin lisäämään työhöni monia asioita, joita en ollut alun perin suunnitellut, joten työ venyi kirjoitettaessa aika tavalla. 54 6 Lähteet Järvinen, Petteri 2006. Paranna tietoturvaasi. Porvoo: Docendo. ISBN: 951-846-289-5 Kirves, Antti 2007. Tiedonhävitys on tekniikkalaji. Digitoday. [Online] [Viitattu 19.4.2007]. http://www.digitoday.fi/page.php?page_id=14&news_id=2003131 27 Laaksonen Mika, Nevasalo Terho, Tomula Karri 2006. Yrityksen tietoturvakäsikirja. Ohjeistus, toteutus ja lainsäädäntö. Helsinki: Edita. ISBN: 951-374701-8 Microsoft Corporation 2007. Varmuuskopiointi voi pelastaa yrityksesi. [Online] [Viitattu 13.11.2007] http://www.microsoft.com/finland/pkinfo/issues/sgcv2/securityguidance-centre/Back-Up-Now-or-Be-Sorry-Later.mspx Myhr, Bertil ym. 2004. Sulje ikkunasi kutsumattomilta vierailta. Symantec Corporation. ISBN: 91-975601-3-8 Ruohonen, Mika 2002. Tietoturva. Porvoo: Docendo. ISBN: 951-846-163-5 Teollisuuden ja Työnantajain Keskusliitto 2001. Ovatko yrityksesi tietoriskit hallinnassa? Uusitettu laitos. Helsinki: EK. ISBN: 951-9148-90-6 Thomas, Tom 2004. Verkkojen tietoturva. Cisco Press. Suomenkielinen painos. Helsinki: IT Press. ISBN: 951-826-780-4 Tero Tammisalo 2007. Sosiaali- ja terveydenhuollon organisaatioiden tietoturvan hallinnointi. Periaatteet ja menetelmät. Helsinki: STAKES. Wikipedia 2007. [Online] [Viitattu 13.11.2007]. http://en.wikipedia.org/wiki/Advanced_Intelligent_Tape Wikipedia 2007. [Online] [Viitattu 13.11.2007]. http://en.wikipedia.org/wiki/Linear_Tape-Open Microsoft Corporation 2007. Volume shadow copy overview. [Online] [Viitattu 14.11.2007] http://www.microsoft.com/resources/documentation/windows/xp/al l/proddocs/en-us/ntbackup_backup_snapshot.mspx?mfr=true Microsoft Corporation 2007. How Volume Shadow Copy Service Works. [Online] [Viitattu 14.11.2007] http://technet2.microsoft.com/windowsserver/en/library/2b0d2457b7d8-42c3-b6c9-59c145b7765f1033.mspx?mfr=true